det0866-detection-of-search-threat-vendor-data

# DET0866 — Detection of Search Threat Vendor Data ## Descrição A estratégia DET0866 aborda a detecção de adversários que consultam bases de dados de vendors de threat intelligence e segurança para obter informações sobre alvos, infraestrutura comprometida ou capacidades defensivas das organizações visadas. Plataformas como VirusTotal, Shodan, GreyNoise, PassiveTotal/RiskIQ, DomainTools e Recorded Future contêm dados técnicos ricos que adversários utilizam tanto para reconhecimento quanto para avaliar exposição de suas próprias ferramentas. Adversários verificam hashes de malware em VirusTotal antes de implantá-los para garantir que não estão sendo detectados por soluções antivírus — prática conhecida como "AV testing". Também consultam bases de dados de threat intelligence para identificar se suas infraestruturas (IPs, domínios) já foram expostas e bloqueadas, permitindo rotacionamento rápido de assets. Grupos sofisticados monitoram relatórios de vendors de segurança para identificar quando suas TTPs foram documentadas. A detecção desta atividade é intrinsecamente difícil por ocorrer em plataformas externas. Organizações devem monitorar quando hashes de seus próprios arquivos legítimos são consultados em VirusTotal, configurar alertas sobre queries em plataformas de threat intel relacionadas a seus ativos, e verificar regularmente se infraestrutura interna aparece em feeds de dados de threat vendors. ## Indicadores de Detecção - Hash de ferramenta corporativa legítima consultado no VirusTotal próximo a incidente de segurança - Domínio ou IP corporativo adicionado a lista de watchlist em plataforma de threat intelligence externa - Consulta via API de threat intelligence platform usando credenciais corporativas de IP não autorizado - Referência a infraestrutura interna em relatório público de vendor de segurança (indicando exposição prévia) - Aumento repentino em lookups de reputação de IPs corporativos em feeds de threat intel - Malware com detecção zero em VirusTotal utilizado em campanha direcionada à organização - Consulta em PassiveTotal/RiskIQ para domínios corporativos a partir de IP com histórico malicioso ## Técnicas Relacionadas - [[t1597-search-closed-sources|T1597 — Search Closed Sources]] - [[T1597.001-threat-intel-vendors|T1597.001 — Threat Intel Vendors]] - [[t1596-search-open-technical-databases|T1596 — Search Open Technical Databases]] - [[T1587.001-malware|T1587.001 — Develop Capabilities: Malware]] - [[t1027-obfuscated-files|T1027 — Obfuscated Files or Information]] - [[T1553.002-code-signing|T1553.002 — Subvert Trust Controls: Code Signing]] ## Analytics Relacionadas - [[an1998-analytic-1998|AN1998 — Analytic 1998]] --- *Fonte: [MITRE ATT&CK — DET0866](https://attack.mitre.org/detectionstrategies/DET0866)*