# DET0830 — Detection of Active Scanning ## Descrição Varredura ativa é uma técnica de reconhecimento onde o adversário envia tráfego de rede diretamente para sistemas da organização-alvo para coletar informações sobre hosts ativos, serviços expostos, versões de software e vulnerabilidades potenciais. Diferente do reconhecimento passivo, a varredura ativa interage diretamente com a infraestrutura do alvo e é detectável nos logs de rede e firewall. Ferramentas como Nmap, Masscan, Nessus (em modo ofensivo), Nikto e Nuclei são amplamente utilizadas, tanto por red teams legítimos quanto por grupos de ameaça como [[g0007-apt28]], [[g0034-sandworm]] e operadores de ransomware em fase de reconhecimento. A varredura ativa engloba múltiplas subtécnicas: escaneamento de portas TCP/UDP para identificar serviços ativos ([[T1595.001-active-scanning-scanning-ip-blocks]]), fingerprinting de vulnerabilidades para identificar CVEs específicos ([[T1595.002-active-scanning-vulnerability-scanning]]), e enumeração de wordlists em aplicações web para descoberta de endpoints ocultos. Cada uma dessas atividades deixa rastros distintos nos logs de firewall perimetral, IDS/IPS e em logs de servidores web como sequências de conexões rejeitadas ou tentativas de autenticação. A detecção combina análise de logs de firewall para volumes anômalos de conexões rejeitadas, correlação de IPs de origem com listas de scanners conhecidos (Shodan, Censys, BinaryEdge realizam varreduras legítimas que podem ser filtradas), implementação de honeypots de porta (portas abertas que nunca deveriam receber tráfego legítimo) e alertas para padrões de varredura sistemática. Diferenciar scans legítimos de provedores de threat intelligence de scans maliciosos requer análise de contexto e correlação com outros indicadores de ataque. ## Indicadores de Detecção - Volume anormal de conexões rejeitadas no firewall de um único IP de origem em curto período - Tentativas de SYN em múltiplas portas em sequência ordenada ou randomizada de um mesmo IP - Alertas de honeypot: tráfego recebido em portas que nunca deveriam ter acesso legítimo - Conexões a serviços em portas não padrão (ex: HTTP em porta 8080, SSH em 2222) por IPs externos - User-agents de ferramentas de varredura em logs de servidor web (`Nmap Scripting Engine`, `Nuclei`) - Tentativas de autenticação em serviços como SSH, RDP, SMB de IPs que anteriormente fizeram scan de portas - Requisições HTTP em padrão de wordlist para paths inexistentes (404 em alta frequência de um IP) ## Técnicas Relacionadas - [[t1595-active-scanning|T1595-active-scanning]] — técnica primária de varredura ativa - [[t1046-network-service-discovery]] — escaneamento de serviços de rede - [[T1595.001-active-scanning-scanning-ip-blocks]] — varredura de blocos de IP - [[T1595.002-active-scanning-vulnerability-scanning]] — varredura de vulnerabilidades - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] — exploração seguinte à descoberta via scan ## Analytics Relacionadas - [[an1962-analytic-1962|AN1962 — Analytic 1962]] --- *Fonte: [MITRE ATT&CK — DET0830](https://attack.mitre.org/detectionstrategies/DET0830)*