# DET0856 — Detection of Search Open Websites/Domains ## Descrição Esta estratégia foca na detecção de adversários realizando pesquisa em websites abertos e bancos de dados de domínios para coletar informações sobre alvos. Inclui uso de motores de busca para dorkings (Google Dorks, Bing, Shodan), consultas a bancos WHOIS, certificados TLS públicos (crt.sh), e ferramentas como Maltego e Recon-ng para mapeamento de superfície de ataque externa. O reconhecimento via websites abertos é a técnica mais acessível e amplamente utilizada na fase de [[t1593-search-open-websitesdomains|T1593]], não requerendo ferramentas especializadas. Atores de todos os níveis de sofisticação — desde script kiddies até APTs nacionais — dependem de pesquisa OSINT aberta para identificar subdomínios, tecnologias expostas, versões de software e potenciais vetores de entrada antes de qualquer interação direta com a infraestrutura-alvo. A detecção é predominantemente passiva e baseada em monitoramento externo: rastrear menções aos ativos da organização em plataformas de threat intelligence, alertas de novos certificados emitidos para subdomínios, e mudanças em registros WHOIS. Internamente, logs de WAF podem capturar requisições com padrões característicos de ferramentas de reconhecimento automatizado. ## Indicadores de Detecção - Requisições HTTP ao site corporativo com User-Agents de ferramentas de reconhecimento (Nikto, Gobuster, nuclei, masscan) - Picos de consultas WHOIS para domínios da organização originando de IPs de data center - Novos certificados TLS emitidos para subdomínios da organização (monitorar via crt.sh) - Aumento de dorking queries em logs de search engines expondo conteúdo sensível (filetype:pdf, inurl:admin) ## Técnicas Relacionadas - [[t1593-search-open-websitesdomains|T1593 — Search Open Websites/Domains]] - [[t1596-search-open-technical-databases|T1596 — Search Open Technical Databases]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] - [[t1595-active-scanning|T1595 — Active Scanning]] ## Analytics Relacionadas - [[an1988-analytic-1988|AN1988 — Analytic 1988]] --- *Fonte: [MITRE ATT&CK — DET0856](https://attack.mitre.org/detectionstrategies/DET0856)*