# DET0832 — Detection of WHOIS ## Descrição Consultas WHOIS são utilizadas por adversários para obter informações de registro de domínios de organizações-alvo — identificando registrantes, datas de registro, nameservers, servidores de e-mail associados e organizações responsáveis pelo registro. Essas informações permitem mapear a infraestrutura de domínio da organização, identificar domínios relacionados não óbvios (subsidiárias, produtos, serviços internos), verificar datas de expiração de domínios para planejamento de domain squatting preventivo e correlacionar infraestrutura com organizações conhecidas. A técnica é mapeada em [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]] e é frequentemente automatizada por ferramentas de reconhecimento como `amass`, `recon-ng` e `Maltego`. Adversários também usam WHOIS de forma inversa — consultando o histórico de registros de domínios conhecidos de um grupo APT (via ferramentas como DomainTools e SecurityTrails) para identificar padrões de infraestrutura e descobrir novos domínios maliciosos em fase de preparação. No contexto defensivo, monitorar o WHOIS de domínios de typosquatting recém-registrados similares ao domínio corporativo permite identificar campanhas de phishing antes que se tornem ativas. A detecção no plano defensivo consiste principalmente em monitoramento proativo: implementar alertas via serviços como `DomainTools Iris`, `SecurityTrails` ou scripts customizados que consultam WHOIS periodicamente para identificar novos domínios similares, registros privados que mascaram o registrante real de domínios suspeitos, e mudanças de nameserver em domínios de parceiros que podem indicar comprometimento. A correlação de registros WHOIS com IoCs de campanhas conhecidas auxilia na atribuição e antecipação de ataques futuros. ## Indicadores de Detecção - Consultas WHOIS em massa para domínios da organização identificadas em logs de servidores WHOIS - Novos domínios de typosquatting registrados com informações WHOIS privadas (privacidade habilitada) similares ao domínio corporativo - Mudança de registrante ou nameserver em domínios da organização não autorizada - Domínios expirados da organização registrados por terceiros após vencimento (monitorar datas de expiração) - Consultas à API do DomainTools ou SecurityTrails para domínios da organização de IPs externos suspeitos - Registros WHOIS de domínios de infraestrutura de C2 correlacionados com padrões de APTs conhecidos - Domínios similares ao corporativo registrados em registradores de baixo custo com privacidade habilitada ## Técnicas Relacionadas - [[t1596-search-open-technical-databases|T1596-search-open-technical-databases]] — WHOIS como fonte de informação técnica - [[t1583-acquire-infrastructure|T1583-acquire-infrastructure]] — registro de domínios para infraestrutura de ataque - [[t1566-phishing|T1566-phishing]] — phishing via domínios de typosquatting identificados via WHOIS - [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] — coleta de informações de infraestrutura de domínio - [[t1584-compromise-infrastructure|T1584-compromise-infrastructure]] — comprometimento de domínios identificados via WHOIS ## Analytics Relacionadas - [[an1964-analytic-1964|AN1964 — Analytic 1964]] --- *Fonte: [MITRE ATT&CK — DET0832](https://attack.mitre.org/detectionstrategies/DET0832)*