det0860-detection-of-search-open-technical-databases

# DET0860 — Detection of Search Open Technical Databases ## Descrição A estratégia DET0860 trata da detecção de adversários que consultam bancos de dados técnicos abertos para coletar informações sobre alvos. Isso inclui plataformas como Shodan, Censys, FOFA, ZoomEye, GreyNoise e Certificaté Transparency logs — todas fontes legítimas de dados que adversários utilizam sistematicamente para reconhecimento passivo antes de ataques. Essas plataformas indexam continuamente a internet e permitem que qualquer usuário descubra serviços expostos, versões de software, banners de serviço, certificados TLS e geolocalização de infraestrutura corporativa. Adversários experientes utilizam essas ferramentas antes de qualquer varredura ativa para reduzir o risco de detecção. A granularidade das buscas em plataformas como Shodan (filtros por organização, domínio, ASN) torna o reconhecimento altamente direcionado e eficiente. Organizações devem realizar periodicamente buscas sobre sua própria infraestrutura nessas plataformas para identificar exposições inadvertidas, e correlacionar alertas de novos resultados indexados com campanhas de ameaças ativas. Integrar dados de threat intelligence sobre consultas a essas plataformas direcionadas a ativos corporativos é uma abordagem complementar. ## Indicadores de Detecção - Referência a infraestrutura corporativa em resultados históricos de Shodan/Censys não esperados - Serviço de gerenciamento exposto públicamente descoberto via indexação de plataforma OSINT - Nova entrada em CT logs para domínio corporativo acompanhada de varredura imediata ao ativo - Consulta automatizada via API de plataforma OSINT com padrões direcionados ao ASN corporativo - Banner de serviço revelando versão vulnerável de software indexada por plataforma externa - Acesso a portal de gerenciamento corporativo originado de IP de scraper conhecido - Correlação entre exposição em Shodan e início de campanha de ataque direcionada ## Técnicas Relacionadas - [[t1596-search-open-technical-databases|T1596 — Search Open Technical Databases]] - [[T1596.001-dns-passive-dns|T1596.001 — DNS/Passive DNS]] - [[T1596.002-whois|T1596.002 — WHOIS]] - [[T1596.003-digital-certificates|T1596.003 — Digital Certificates]] - [[T1596.004-cdn|T1596.004 — CDNs]] - [[T1595.002-vulnerability-scanning|T1595.002 — Active Scanning: Vulnerability Scanning]] ## Analytics Relacionadas - [[an1992-analytic-1992|AN1992 — Analytic 1992]] --- *Fonte: [MITRE ATT&CK — DET0860](https://attack.mitre.org/detectionstrategies/DET0860)*