# DET0825 — Detection of Drive-by Target ## Descrição Ataques drive-by targeting são uma forma sofisticada de comprometimento onde o adversário primeiro identifica e seleciona alvos específicos com base em seus padrões de navegação, cargo ou organização, e então injeta código malicioso em websites que esses alvos visitam regularmente — ao invés de atacar o site diretamente, o atacante usa-o como veículo para atingir um conjunto específico de visitantes. Essa técnica, conhecida como watering hole, é especialmente eficaz contra alvos de alto perfil que visitam regularmente fóruns setoriais, portais de notícias especializados ou sites de associações industriais. Grupos como [[g0050-apt32]], [[g0012-darkhotel]] e [[g0096-apt41]] têm histórico documentado de ataques watering hole contra o setor de defesa, energia e governo. A seleção do site comprometido é baseada em reconhecimento prévio do comportamento do alvo — análise de histórico de navegação obtido via phishing anterior, perfis públicos em redes sociais que revelam interesses profissionais, ou comprometimento de um sistema periférico que permite observar o tráfego de navegação. O exploit é frequentemente servido apenas para visitantes que aténdam a critérios específicos (user-agent, IP de origem, horário de acesso), tornando a detecção por sandbox mais difícil. A detecção envolve monitoramento de comportamento anômalo de browser após visita a sites legítimos (downloads não solicitados, execução de scripts), implementação de DNS sinkholes para domínios de exploit conhecidos, e análise de tráfego de saída pós-visita para identificar callbacks de malware. A correlação entre visitas a sites específicos e posterior atividade maliciosa no endpoint é o principal indicador desta técnica, mapeada em [[t1189-drive-by-compromise|T1189-drive-by-compromise]] e [[T1608.004-stage-capabilities-drive-by-target]]. ## Indicadores de Detecção - Execução de código JavaScript ou exploit de browser após visita a site legítimo sem interação do usuário - Download não solicitado de arquivos após navegação em portal setorial ou associação da indústria - Callback de malware (beaconing) detectado no endpoint logo após visita a site específico - Scripts obfuscados ou iframes escondidos em sites legítimos identificados via inspeção de conteúdo - Alertas de DNS sinkhole para domínios de exploit conhecidos acessados após navegação - Exploit de browser zero-day executado em contexto de sandbox correlacionado com categoria de site - Múltiplos funcionários da mesma organização comprometidos após visitar o mesmo site em período similar ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189-drive-by-compromise]] — comprometimento via código malicioso em site legítimo - [[T1608.004-stage-capabilities-drive-by-target]] — preparação de site comprometido como watering hole - [[t1203-exploitation-for-client-execution|T1203-exploitation-for-client-execution]] — exploração de browser ou plugin via drive-by - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — reconhecimento de alvos antes do watering hole - [[t1176-browser-extensions|T1176-browser-extensions]] — implantação de extensão maliciosa via drive-by ## Analytics Relacionadas - [[an1957-analytic-1957|AN1957 — Analytic 1957]] --- *Fonte: [MITRE ATT&CK — DET0825](https://attack.mitre.org/detectionstrategies/DET0825)*