# DET0839 — Detection of Stage Capabilities ## Descrição Adversários preparam e posicionam suas capacidades ofensivas em infraestrutura de staging antes de iniciar um ataque — fazendo upload de payloads, configurando servidores C2, preparando exploits e organizando ferramentas em repositórios acessíveis para as próximas fases da operação. Essa fase de preparação é mapeada em [[t1608-stage-capabilities|T1608-stage-capabilities]] e inclui upload de malware para plataformas legítimas, configuração de servidores de phishing, criação de sites falsos e hospedagem de ferramentas de ataque em infraestrutura controlada. Grupos APT como [[g0016-apt29]], [[g0096-apt41]] e [[g0032-lazarus-group]] realizam preparação extensiva de infraestrutura semanas ou meses antes de iniciar ataques contra alvos específicos. A detecção proativa de staging é possível através de monitoramento de infraestrutura nova registrada com padrões similares a campanhas anteriores — nomes de domínio, certificados TLS, configurações de servidor e até código de malware reutilizado que são assinaturas identificáveis de grupos específicos. Serviços de threat intelligence e plataformas como PassiveTotal, DomainTools e Shodan permitem identificar infraestrutura de staging antes que sejá ativada contra alvos. A correlação de múltiplos indicadores de preparação — novo domínio registrado com privacidade, certificado TLS emitido, servidor VPS configurado com porta C2 característica, e payload similar a campanhas anteriores — permite antecipar ataques ainda na fase de preparação. Organizações com equipes de threat intelligence maduras podem utilizar esses indicadores para compartilhamento proativo com parceiros e emissão de alertas preventivos, conforme descrito na abordagem de [[t1583-acquire-infrastructure|T1583-acquire-infrastructure]] e [[t1584-compromise-infrastructure|T1584-compromise-infrastructure]]. ## Indicadores de Detecção - Novos domínios registrados com padrões de nomes similares a campanhas históricas de APTs conhecidos - Servidores com configurações características de frameworks C2 (portas específicas, certificados autoassinados, respostas HTTP características de Cobalt Strike ou Metasploit) - Certificados TLS emitidos para domínios que imitam serviços legítimos (microsoft-updaté.net, google-cdn.com) - Upload de amostras de malware ao VirusTotal com similaridade de código a variantes conhecidas - Infraestrutura de VPS configurada com padrões de rede idênticos a campanhas anteriores do mesmo grupo - Repositórios GitHub criados recentemente com características de staging (binários, scripts de download) - Correlação de IoCs de preparação com TTPs históricas de grupos que têm interesse no setor da organização ## Técnicas Relacionadas - [[t1608-stage-capabilities|T1608-stage-capabilities]] — técnica primária de preparação e posicionamento de capacidades - [[t1583-acquire-infrastructure|T1583-acquire-infrastructure]] — aquisição de infraestrutura para staging - [[t1584-compromise-infrastructure|T1584-compromise-infrastructure]] — comprometimento de infraestrutura de terceiros para staging - [[t1588-obtain-capabilities|T1588-obtain-capabilities]] — obtenção de ferramentas para staging - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — comúnicações C2 configuradas na infraestrutura de staging ## Analytics Relacionadas - [[an1971-analytic-1971|AN1971 — Analytic 1971]] --- *Fonte: [MITRE ATT&CK — DET0839](https://attack.mitre.org/detectionstrategies/DET0839)*