det0868-detection-of-wordlist-scanning

# DET0868 — Detection of Wordlist Scanning ## Descrição A estratégia DET0868 trata da detecção de varreduras baseadas em wordlist — técnica de reconhecimento ativo em que adversários utilizam listas de palavras conhecidas para descobrir recursos ocultos, credenciais válidas ou caminhos não públicos em serviços web, APIs e sistemas de autenticação. As wordlists incluem nomes comuns de diretórios, arquivos de configuração, endpoints de API, subdomínios e combinações de usuário/senha mais utilizadas. Ferramentas populares para wordlist scanning incluem Gobuster, Dirb, Feroxbuster (descoberta de diretórios web), ffuf (fuzzing de parâmetros e caminhos), e Hydra ou Medusa (força bruta de credenciais). Essas ferramentas são frequentemente utilizadas após reconhecimento inicial para expandir a superfície de ataque identificada. A distinção entre wordlist scanning e varredura comum de vulnerabilidades está na natureza sequencial e baseada em dicionário das requisições. A detecção é baseada em análise de padrões de requisições HTTP (alto volume de 404 em sequência para caminhos do mesmo padrão), identificação de comportamento de força bruta em logs de autenticação, e correlação com User-Agents característicos dessas ferramentas. Raté limiting e CAPTCHAs são controles preventivos que tornam a detecção mais fácil ao forçar comportamentos mais lentos. ## Indicadores de Detecção - Alto volume de requisições HTTP 404 a caminhos sequenciais ou com padrão de wordlist comum - Requisições para caminhos de arquivos sensíveis comuns: `.env`, `backup.zip`, `admin/config.php` - Múltiplas tentativas de autenticação com usuários diferentes de único IP (credential stuffing) - User-Agent identificado como ferramenta de fuzzing (Gobuster, ffuf, Dirbuster) em logs de acesso - Enumeração sistemática de subdomínios via DNS com padrão de wordlist detectável - Tentativas de acesso a endpoints de API não documentados em sequência alfabética ou numérica - Força bruta de parâmetros de query string ou campos de formulário com valores de wordlist ## Técnicas Relacionadas - [[T1595.003-wordlist-scanning|T1595.003 — Active Scanning: Wordlist Scanning]] - [[T1595.002-vulnerability-scanning|T1595.002 — Active Scanning: Vulnerability Scanning]] - [[T1110.001-password-guessing|T1110.001 — Brute Force: Password Guessing]] - [[t1110-004-credential-stuffing|T1110.004 — Brute Force: Credential Stuffing]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an2000-analytic-2000|AN2000 — Analytic 2000]] --- *Fonte: [MITRE ATT&CK — DET0868](https://attack.mitre.org/detectionstrategies/DET0868)*