det0858-detection-of-scan-databases

# DET0858 — Detection of Scan Databases ## Descrição Esta estratégia foca na detecção de adversários utilizando bancos de dados de varredura pública — como Shodan, Censys, BinaryEdge, ZoomEye e FOFA — para identificar serviços expostos, versões vulneráveis de software e dispositivos de rede acessíveis na internet pertencentes ao alvo. Esses serviços indexam continuamente o espaço IPv4/IPv6 e fornecem resultados instantâneos sem necessidade de varredura direta. O uso de plataformas de internet scanning é parte da técnica [[t1596-search-open-technical-databases|T1596.005]] e representa o método mais furtivo de reconhecimento técnico — o adversário obtém informações detalhadas sobre a superfície de ataque sem nunca interagir diretamente com os sistemas-alvo. Adversários criam consultas específicas buscando banners de versões vulneráveis (Apache Struts, Exchange Server, Fortinet) combinadas com ASNs ou ranges de IP da organização-alvo. Organizações devem monitorar ativamente sua própria presença nesses bancos de dados — verificar o que Shodan e Censys exibem sobre sua infraestrutura e reduzir a superfície exposta. Ferramentas de Attack Surface Management (ASM) automatizam esse monitoramento e alertam sobre novos serviços indexados ou mudanças em banners que revelam versões vulneráveis. ## Indicadores de Detecção - Picos de varreduras diretas a portas específicas correlacionados com públicação recente de exploits (CVEs críticos) - Presença de novos serviços da organização indexados em Shodan/Censys sem ter sido expostos intencionalmente - Consultas de API ao Shodan originadas de IPs suspeitos buscando ativos da organização (monitorar via alertas Shodan) - Evidências de fingerprinting de versão em logs de acesso a serviços web (cabeçalhos específicos de ferramentas de scanning) ## Técnicas Relacionadas - [[t1596-search-open-technical-databases|T1596 — Search Open Technical Databases]] - [[t1595-active-scanning|T1595 — Active Scanning]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] - [[t1593-search-open-websitesdomains|T1593 — Search Open Websites/Domains]] ## Analytics Relacionadas - [[an1990-analytic-1990|AN1990 — Analytic 1990]] --- *Fonte: [MITRE ATT&CK — DET0858](https://attack.mitre.org/detectionstrategies/DET0858)*