# DET0826 — Detection of Gather Victim Host Information ## Descrição Adversários coletam informações detalhadas sobre os sistemas host de uma organização-alvo — incluindo hardware, sistema operacional, versões de software, configurações de segurança e aplicações instaladas — para preparar exploits e payloads customizados que maximizem a taxa de sucesso do ataque. Essa coleta ocorre tanto externamente (análise de metadados de documentos públicados, User-Agents em requisições web, fingerprinting passivo) quanto internamente após um acesso inicial, onde ferramentas de discovery são executadas para mapear o ambiente antes de escalar privilégios. Grupos como [[g0016-apt29]], [[g0096-apt41]] e [[g0046-fin7]] documentadamente realizam reconhecimento extensivo de hosts antes de comprometer ambientes corporativos. Fontes externas de informação de host incluem: metadados de documentos (criador, software utilizado, hostname), headers de resposta HTTP que revelam versão do servidor web, cabeçalhos de e-mail que expõem cliente de e-mail e SO, e erros de aplicação que revelam stack tecnológico. Ferramentas de fingerprinting como `WhatWeb`, `Wappalyzer` e análise de certificados TLS permitem inferir versões de software de forma passiva sem alertar mecanismos de detecção. A detecção deve incluir sanitização de metadados em documentos públicados, minimização de informações expostas em cabeçalhos HTTP (remover `Server`, `X-Powered-By`, limitar detalhes em mensagens de erro), e monitoramento de comandos de discovery executados em sistemas após qualquer acesso suspeito. A correlação entre coleta de informações de host e tentativas subsequentes de exploração de CVEs específicos para as versões identificadas é um indicador forte de ataque coordenado, relacionado a [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]]. ## Indicadores de Detecção - Execução de comandos de system discovery (`systeminfo`, `uname -a`, `wmic computersystem get`) por processos suspeitos - Documentos públicados pela organização contendo metadados com hostnames, usernames ou versões de SO - Respostas HTTP da organização expondo informações de versão em cabeçalhos `Server` e `X-Powered-By` - Fingerprinting de browser via JavaScript acessando `navigator.userAgent`, `navigator.platform` de páginas incomuns - Erros de aplicação que revelam stack tecnológico (stack traces, mensagens de erro detalhadas) - Consultas SNMP em massa a equipamentos da organização para coleta de informações de sistema - Correlação entre metadados expostos em documentos e CVEs específicos explorados posteriormente ## Técnicas Relacionadas - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — técnica primária de coleta de informações de host - [[t1082-system-information-discovery|T1082-system-information-discovery]] — descoberta de informações de sistema após acesso inicial - [[t1518-software-discovery|T1518-software-discovery]] — identificação de softwares instalados no host - [[t1203-exploitation-for-client-execution|T1203-exploitation-for-client-execution]] — exploração baseada em informações coletadas - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] — exploração de serviços cujas versões foram identificadas ## Analytics Relacionadas - [[an1958-analytic-1958|AN1958 — Analytic 1958]] --- *Fonte: [MITRE ATT&CK — DET0826](https://attack.mitre.org/detectionstrategies/DET0826)*