# DET0892 — Detection of Domains ## Descrição A estratégia DET0892 complementa a DET0863 com foco específico na detecção de uso de domínios comprometidos — sites legítimos hackeados que adversários utilizam como infraestrutura de ataque. Domínios comprometidos possuem histórico de reputação limpo, certificados TLS válidos e tráfego legítimo, tornando-os muito mais difíceis de bloquear que domínios recém-registrados. Essa técnica é preferida por adversários sofisticados que precisam de alta taxa de entrega em ataques de phishing. A distinção entre domínios recém-registrados e comprometidos é crítica para estrategias de detecção: enquanto para novos domínios a idade e reputação são indicadores primários, para domínios comprometidos é necessário detectar anomalias no comportamento do site (novo conteúdo de phishing em servidor com histórico legítimo, mudanças em certificado TLS, novos subdomínios criados). Plataformas como urlscan.io e VirusTotal fornecem histórico de análise de sites que pode revelar comprometimento. Integração com feeds de threat intelligence que rastreiam domínios comprometidos (Phishtank, OpenPhish, SURBL) é essencial para detecção em tempo hábil. Complementarmente, monitoramento de alterações no conteúdo de sites de parceiros e fornecedores conhecidos pode antecipar ataques via watering hole. ## Indicadores de Detecção - Página de phishing identificada em subdiretório de domínio com reputação histórica limpa - Novo subdomínio criado em domínio com histórico legítimo apontando para infraestrutura suspeita - Certificado TLS de domínio alterado ou novo certificado emitido para subdomain incomum - Hash de conteúdo de site de parceiro/fornecedor alterado sem comunicação de atualização - Acesso de usuário corporativo a URL de domínio legítimo que aparece em feed de phishing ativo - Site com histórico de tráfego baixo passando a receber alto volume de tráfego súbito - Correlação entre visita a site comprometido e download posterior de arquivo malicioso por usuário ## Técnicas Relacionadas - [[T1584.001-domains|T1584.001 — Compromise Infrastructure: Domains]] - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1566-002-spearphishing-link|T1566.002 — Phishing: Spearphishing Link]] - [[t1071-001-web-protocols|T1071.001 — Application Layer Protocol: Web Protocols]] - [[T1608.005-link-target|T1608.005 — Stage Capabilities: Link Target]] - [[T1056.003-web-portal-capture|T1056.003 — Input Capture: Web Portal Capture]] ## Analytics Relacionadas - [[an2024-analytic-2024|AN2024 — Analytic 2024]] --- *Fonte: [MITRE ATT&CK — DET0892](https://attack.mitre.org/detectionstrategies/DET0892)*