det0847-detection-of-domain-properties

# DET0847 — Detection of Domain Properties ## Descrição A estratégia DET0847 visa detectar quando adversários realizam reconhecimento sobre propriedades de domínios de alvos, incluindo informações de registro WHOIS, nameservers, registros DNS, certificados TLS e dados de Certificaté Transparency. Essas informações são usadas para mapear a infraestrutura da organização alvo antes de ataques direcionados. Adversários utilizam ferramentas como Amass, Subfinder, DNSRecon e consultas WHOIS automatizadas para identificar subdomínios, endereços IP associados, provedores de hospedagem e histórico de alterações DNS. Dados de CT logs são especialmente valiosos para descoberta de subdomínios não públicos. Esse reconhecimento passivo é difícil de detectar diretamente, pois ocorre em fontes públicas externas. A detecção se baseia principalmente na análise de logs de consultas DNS próprios, identificação de padrões de scraping em portais WHOIS corporativos, e monitoramento de alertas de CT logs para emissão de certificados para subdomínios da organização. Ferramentas de brand monitoring e threat intelligence feeds que rastreiam consultas sobre domínios corporativos complementam essa estratégia. ## Indicadores de Detecção - Volume anormalmente alto de consultas DNS para subdomínios da organização a partir de única origem - Consulta WHOIS repetida para múltiplos domínios corporativos em curto intervalo de tempo - Novo certificado TLS emitido para subdomínio interno ou staging da organização (via CT logs) - Enumeração de registros MX, SPF, DMARC e DKIM por fonte externa não reconhecida - Busca sistemática por padrões de subdomínio (dev, staging, vpn, mail, admin) em DNS - Referências a propriedades de domínio corporativo em relatórios de inteligência de ameaças - Transferência de zona DNS bem-sucedida a partir de servidor não autorizado ## Técnicas Relacionadas - [[T1590.001-domain-properties|T1590.001 — Gather Victim Network Information: Domain Properties]] - [[T1596.001-dns-passive-dns|T1596.001 — Search Open Technical Databases: DNS/Passive DNS]] - [[T1596.003-digital-certificates|T1596.003 — Search Open Technical Databases: Digital Certificates]] - [[T1583.001-domains|T1583.001 — Acquire Infrastructure: Domains]] - [[t1071-004-dns|T1071.004 — Application Layer Protocol: DNS]] - [[T1568.002-domain-generation-algorithms|T1568.002 — Dynamic Resolution: Domain Generation Algorithms]] ## Analytics Relacionadas - [[an1979-analytic-1979|AN1979 — Analytic 1979]] --- *Fonte: [MITRE ATT&CK — DET0847](https://attack.mitre.org/detectionstrategies/DET0847)*