# DET0820 — Detection of Client Configurations ## Descrição Adversários investigam as configurações de sistemas cliente (estações de trabalho, laptops, dispositivos móveis) de uma organização para identificar softwares instalados, versões de sistema operacional, configurações de segurança e potenciais vulnerabilidades exploráveis. Essa informação é crucial para desenvolver payloads e exploits compatíveis com o ambiente-alvo específico, especialmente em operações de acesso inicial via phishing onde o exploit precisa funcionar contra a versão exata do software presente no endpoint do alvo. Grupos como [[g0046-fin7]], [[g0016-apt29]] e [[darkside]] demonstraram capacidade de customizar seus vetores de ataque baseados em reconhecimento prévio de configurações de cliente. A coleta dessas informações ocorre via múltiplas fontes: análise de e-mails recebidos que expõem agentes de usuário e clientes de e-mail, metadados em documentos públicados (que frequentemente incluem versão do software utilizado para criação), análise de respostas HTTP que revelam SO e navegador via User-Agent, e sites de emprego que listam requisitos de conhecimento técnico revelando tecnologias em uso. Documentos PDF e Office frequentemente contêm metadados com versões de software, nomes de usuário e hostnames. A detecção deve focar em auditoria e limpeza de metadados em documentos públicados externamente, monitoramento de cabeçalhos User-Agent em requisições a serviços web da organização para identificar padrões de fingerprinting deliberado, e implementação de ferramentas de remoção automática de metadados antes de públicações. A estratégia se conecta a [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] e os dados coletados frequentemente alimentam [[t1203-exploitation-for-client-execution|T1203-exploitation-for-client-execution]] e [[t1566-phishing|T1566-phishing]]. ## Indicadores de Detecção - Acesso a documentos públicos da organização com posterior análise de metadados (detectável via referrer) - Requisições HTTP com User-Agent incomum que sugere fingerprinting deliberado de tecnologias do servidor - Documentos públicados contendo metadados com informações de versão de SO ou software (auditar antes de públicar) - E-mails de teste ou sondagem recebidos que incluem pixel de rastreamento para coleta de informações de cliente - Enumeração de versões de plugins de browser via JavaScript em páginas de acesso público - Análise de cabeçalhos de e-mail para identificar cliente de e-mail e sistema operacional do remetente - Tentativas de execução de conteúdo ativo (JavaScript, macros) em documentos enviados como reconhecimento ## Técnicas Relacionadas - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — coleta de informações de hardware e software do cliente - [[t1203-exploitation-for-client-execution|T1203-exploitation-for-client-execution]] — exploração baseada nas configurações identificadas - [[t1566-phishing|T1566-phishing]] — phishing customizado para versões de software específicas do alvo - [[t1518-software-discovery|T1518-software-discovery]] — descoberta de softwares instalados em sistemas cliente - [[t1082-system-information-discovery|T1082-system-information-discovery]] — coleta de informações de sistema operacional e configuração ## Analytics Relacionadas - [[an1952-analytic-1952|AN1952 — Analytic 1952]] --- *Fonte: [MITRE ATT&CK — DET0820](https://attack.mitre.org/detectionstrategies/DET0820)*