det0869-detection-of-gather-victim-network-information

# DET0869 — Detection of Gather Victim Network Information ## Descrição A estratégia DET0869 visa detectar atividades de reconhecimento focadas na coleta de informações de rede da organização alvo. Adversários coletam dados como blocos de endereços IP, topologia de rede, relações de ASN, provedores de internet, configurações de firewall e perímetros de segurança antes de planejar o ataque. Essas informações orientam decisões sobre qual vetor de acesso usar e como navegar pela rede após a intrusão. Fontes públicas exploradas incluem registros de ARIN, RIPE, LACNIC e APNIC para mapeamento de blocos IP e ASNs; BGP route tables para entender roteamento e peering; e ferramentas como Traceroute, Nmap e consultas ICMP para inferir topologia de rede. Adversários também coletam informações de rede a partir de documentos corporativos vazados, apresentações em conferências e posts de redes sociais de profissionais de TI que inadvertidamente revelam detalhes de infraestrutura. A detecção é principalmente baseada em monitoramento de fontes externas (registros de internet para alertas sobre queries a blocos IP corporativos), análise de consultas BGP anômalas, e correlação de informações de reconhecimento com atividade de scanning posterior. Threat hunting proativo em bases de dados de registros de internet complementa a detecção reativa. ## Indicadores de Detecção - Consultas de whois para múltiplos blocos IP corporativos em curto período a partir de mesmo ASN - Traceroute externo repetido para endereços de infraestrutura crítica corporativa - Publicação em fóruns de hackers ou dark web de diagramas ou detalhes de rede corporativa - Scan de IP externo varrendo sistematicamente bloco IP inteiro alocado ao ASN corporativo - Queries BGP para prefixos corporativos a partir de sistemas de monitoramento não reconhecidos - Tentativas de obter informações de roteamento OSPF ou BGP de dispositivos de borda - Correlação entre consultas de registro de internet e início de campanha de scanning ativo ## Técnicas Relacionadas - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] - [[T1590.001-domain-properties|T1590.001 — Domain Properties]] - [[T1590.002-dns|T1590.002 — DNS]] - [[T1590.004-network-topology|T1590.004 — Network Topology]] - [[T1590.005-ip-addresses|T1590.005 — IP Addresses]] - [[T1595.001-scanning-ip-blocks|T1595.001 — Active Scanning: Scanning IP Blocks]] ## Analytics Relacionadas - [[an2001-analytic-2001|AN2001 — Analytic 2001]] --- *Fonte: [MITRE ATT&CK — DET0869](https://attack.mitre.org/detectionstrategies/DET0869)*