# DET0827 — Detection of Exploits ## Descrição Adversários pesquisam, desenvolvem ou adquirem exploits para vulnerabilidades específicas identificadas nos sistemas de organizações-alvo como parte da preparação de capacidades ofensivas. A descoberta de exploits ocorre via repositórios públicos (ExploitDB, GitHub, Packet Storm), mercados privados (brokers de zero-days), fóruns underground e desenvolvimento interno por equipes técnicas de grupos APT. Após identificar que o alvo executa uma versão vulnerável de um software, o atacante busca ou desenvolve código de exploração específico antes de iniciar o ataque. Grupos como [[g0096-apt41]], [[g0020-equation-group]] e [[g0032-lazarus-group]] possuem capacidades internas de desenvolvimento de exploits de alta sofisticação. O ciclo de vida típico inclui: identificação de versão vulnerável no alvo (via reconhecimento), busca de PoC público ou desenvolvimento interno, teste em ambiente controlado, adaptação para o ambiente específico do alvo e implantação. CVEs com exploits públicos disponíveis no ExploitDB ou GitHub representam risco imediato para organizações que não realizam patching em tempo hábil. No contexto do CISA KEV, vulnerabilidades listadas têm alta probabilidade de ter exploits funcionais sendo ativamente utilizados por múltiplos grupos. A detecção foca em correlacionar CVEs presentes em sistemas da organização com a disponibilidade de exploits públicos ou indicadores de exploração ativa (CISA KEV, threat feeds). Monitorar repositórios de PoC por novos exploits para produtos utilizados pela organização, implementar varreduras de vulnerabilidade regulares e correlacionar tentativas de exploração nos logs de WAF e IDS com CVEs específicos são controles essenciais. A técnica se relaciona a [[t1588-obtain-capabilities|T1588-obtain-capabilities]] e os exploits são frequentemente usados em [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] e [[t1203-exploitation-for-client-execution|T1203-exploitation-for-client-execution]]. ## Indicadores de Detecção - Tentativas de exploração em logs de WAF correspondendo a assinaturas de CVEs específicos - CVEs em produtos utilizados pela organização adicionados ao CISA KEV sem patch aplicado - Novos PoCs públicados no GitHub ou ExploitDB para vulnerabilidades presentes na infraestrutura - Padrões de requisição HTTP anômalos sugerindo fuzzing ou exploração de aplicação web - Execução de shellcode ou heap spray detectada por EDR após tentativa de acesso a serviço exposto - Logs de crash de aplicação seguidos de tentativas de reconexão — indicativo de exploração com retry - Indicadores de exploração de vulnerabilidade em logs de sistema (process spawn anômalo após requisição web) ## Técnicas Relacionadas - [[t1588-obtain-capabilities|T1588-obtain-capabilities]] — aquisição de exploits e ferramentas - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] — uso de exploits em aplicações expostas - [[t1203-exploitation-for-client-execution|T1203-exploitation-for-client-execution]] — exploits de client-side (browser, Office, PDF) - [[t1068-exploitation-for-privilege-escalation|T1068-exploitation-for-privilege-escalation]] — exploits para elevação de privilégios - [[t1211-exploitation-for-defense-evasion|T1211-exploitation-for-defense-evasion]] — exploits para bypass de controles de segurança ## Analytics Relacionadas - [[an1959-analytic-1959|AN1959 — Analytic 1959]] --- *Fonte: [MITRE ATT&CK — DET0827](https://attack.mitre.org/detectionstrategies/DET0827)*