# DET0850 — Detection of Obtain Capabilities ## Descrição Esta estratégia abrange a detecção de adversários que adquirem capacidades ofensivas de fontes externas — incluindo ferramentas prontas, exploits, malware-as-a-service e acessos iniciais vendidos em fóruns clandestinos. Diferente do desenvolvimento próprio ([[t1587-develop-capabilities|T1587]]), a obtenção de capacidades envolve transações no ecossistema criminoso que podem deixar rastros detectáveis em inteligência de ameaças. Adversários adquirem capacidades em mercados darknet, fóruns como XSS, Exploit.in e BreachForums, e através de canais Telegram especializados. Grupos como [[g0032-lazarus-group|Lazarus Group]] e operadores de [[lockbit|LockBit]] combinam ferramentas desenvolvidas internamente com aquisições externas — compra de exploits zero-day, acesso a redes já comprometidas (Initial Access Brokers) e contratação de serviços de crypter para evadir EDRs. A detecção requer monitoramento de fontes de inteligência externa sobre novos exploits sendo comercializados, correlacionando com variantes de malware que surgem rapidamente após divulgação de vulnerabilidades. Feeds de threat intelligence que rastreiam fóruns underground são essenciais para antecipar o uso iminente de capacidades recém-adquiridas. ## Indicadores de Detecção - Aparecimento de nova variante de malware ou exploit nos feeds de threat intel correlacionado com vulnerabilidade recentemente divulgada - Ofertas de venda de acesso inicial a empresas do setor em fóruns monitorados - Hashes de ferramentas ofensivas conhecidas identificadas em sandboxes públicos (MalwareBazaar, VirusTotal) - Correlação entre exploits comercializados em underground e picos de tentativas de exploração em honeypots ## Técnicas Relacionadas - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] - [[t1587-develop-capabilities|T1587 — Develop Capabilities]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] ## Analytics Relacionadas - [[an1982-analytic-1982|AN1982 — Analytic 1982]] --- *Fonte: [MITRE ATT&CK — DET0850](https://attack.mitre.org/detectionstrategies/DET0850)*