det0867-detection-of-vulnerability-scanning

# DET0867 — Detection of Vulnerability Scanning ## Descrição A estratégia DET0867 foca na detecção de varreduras de vulnerabilidades conduzidas por adversários contra infraestrutura de organizações alvo. A varredura de vulnerabilidades é uma técnica de reconhecimento ativo que permite identificar serviços expostos, versões de software com vulnerabilidades conhecidas, configurações incorretas e pontos de entrada potenciais antes do ataque propriamente dito. Ferramentas amplamente utilizadas incluem Nessus, OpenVAS, Nuclei, Metasploit auxiliaries e scanners específicos para tecnologias como WPScan (WordPress), SQLmap (injeção SQL) e Nikto (servidores web). Grupos APT e operadores de ransomware realizam varreduras tanto a partir de infraestrutura própria quanto através de serviços de scanning distribuídos para mascarar a origem. A varredura pode ser lenta e deliberada para evitar thresholds de detecção. A detecção se baseia em análise de logs de WAF e IDS/IPS para padrões de scanning (múltiplas requisições para endpoints diferentes em sequência), correlação de eventos de autenticação falhada em múltiplos serviços, monitoramento de honeypots, e análise de comportamento de rede para identificar varreduras de porta e fingerprinting de serviços. ## Indicadores de Detecção - Múltiplas requisições HTTP para caminhos de vulnerabilidades conhecidas (admin, .env, wp-admin) em curto intervalo - Varredura de portas TCP/UDP de múltiplas portas por único IP de origem em sequência - User-agent de ferramenta de scanning conhecida (Nessus, Nuclei, Nikto, sqlmap) em logs de acesso - Múltiplas falhas de autenticação em diferentes serviços originadas do mesmo IP externo - Tráfego para honeypot ou endereço IP não utilizado na rede (darknet monitoring) - Padrão de requisições que corresponde a templates de scanner de vulnerabilidades em logs de WAF - Pico súbito em 404 e 403 HTTP responses de único IP externo em análise de logs de servidor web ## Técnicas Relacionadas - [[T1595.002-vulnerability-scanning|T1595.002 — Active Scanning: Vulnerability Scanning]] - [[T1595.001-scanning-ip-blocks|T1595.001 — Active Scanning: Scanning IP Blocks]] - [[T1595.003-wordlist-scanning|T1595.003 — Active Scanning: Wordlist Scanning]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1133-external-remote-services|T1133 — External Remote Services]] ## Analytics Relacionadas - [[an1999-analytic-1999|AN1999 — Analytic 1999]] --- *Fonte: [MITRE ATT&CK — DET0867](https://attack.mitre.org/detectionstrategies/DET0867)*