# DET0884 — Detection of Acquire Access ## Descrição A estratégia DET0884 trata da detecção de aquisição de acesso inicial por adversários através de meios comerciais — específicamente a compra de acesso de Initial Access Brokers (IABs). IABs são especialistas em intrusão que vendem acesso já estabelecido a redes corporativas em fóruns de crime cibernético, separando a fase de acesso inicial do restante da operação. Esse modelo de negócio cibercriminoso acelera ataques ao eliminar o reconhecimento e a fase de intrusão para os compradores. Acessos vendidos por IABs incluem credenciais VPN válidas, sessões RDP ativas, webshells em servidores comprometidos, acesso a painéis de administração e implantes de acesso remoto já instalados. Os preços variam de dezenas a dezenas de milhares de dólares dependendo do porte da organização, nível de privilégio do acesso e setor da vítima. Grupos de ransomware são os principais compradores de acesso IAB. A detecção se baseia na identificação de padrões comportamentais de acesso comprado — frequentemente acompanhado de reconhecimento interno imediato, execução de ferramentas de enumeração de AD, e escalada de privilégios em sequência rápida após o primeiro acesso, sugerindo um operador novo descobrindo o ambiente. ## Indicadores de Detecção - Login VPN de credencial corporativa seguido imediatamente de reconhecimento extensivo do AD - Sessão RDP iniciada de localização incomum realizando enumeração de compartilhamentos de rede - Webshell executando comandos de reconhecimento (whoami, net user, ipconfig) em servidor web - Sequência de acesso inicial > enumeração > escalada em tempo muito curto (indicador de IAB handoff) - Credencial corporativa identificada em venda em marketplace de crime cibernético (dark web intel) - Acesso a sistema crítico a partir de IP de VPN consumer (NordVPN, ExpressVPN) sem justificativa - Menção a "acesso" à organização específica em post monitorado em fórum de crime cibernético ## Técnicas Relacionadas - [[t1650-acquire-access|T1650 — Acquire Access]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1021-001-remote-desktop-protocol|T1021.001 — Remote Services: Remote Desktop Protocol]] - [[t1505-003-web-shell|T1505.003 — Server Software Component: Web Shell]] ## Analytics Relacionadas - [[an2016-analytic-2016|AN2016 — Analytic 2016]] --- *Fonte: [MITRE ATT&CK — DET0884](https://attack.mitre.org/detectionstrategies/DET0884)*