# DET0894 — Detection of Exploits ## Descrição A estratégia DET0894 trata da detecção de exploits desenvolvidos ou adquiridos por adversários para uso em ataques. Exploits são ferramentas que aproveitam vulnerabilidades específicas em software, hardware ou protocolos para obter execução de código, escalada de privilégios ou evasão de controles de segurança. Adversários os desenvolvem internamente, compram de brokers de zero-days, ou adaptam exploits públicos de bases como ExploitDB e Packet Storm. O mercado de zero-days é um ecossistema sofisticado onde exploits para vulnerabilidades críticas em sistemas amplamente usados podem ser vendidos por centenas de milhares a milhões de dólares a governos e grupos APT. Grupos como NSO Group (Pegasus) e intermediários de zero-days como Zerodium comercializam exploits exclusivos. Para grupos de crime cibernético, exploits de N-days (vulnerabilidades com patch disponível mas ainda amplamente não aplicado) são mais acessíveis e igualmente eficazes em ambientes com patching deficiente. A detecção de uso de exploits requer correlação de telemetria de endpoints e rede com CVEs conhecidos, monitoramento de tentativas de exploração em WAF e IDS, análise de comportamento pós-exploração (shellcode execution, privilege escalation), e programa rigoroso de patching para reduzir a janela de exploração. ## Indicadores de Detecção - Padrão de requisição HTTP correspondente a exploit conhecido para CVE específico em logs de WAF - Crash de processo de sistema ou exceção de memória correlacionado com tráfego de rede suspeito - Execução de shellcode detectada em memória por solução EDR após recebimento de input externo - Sequência de payload correspondente a exploit em tráfego de rede capturado por IDS/IPS - Escalonamento de privilégio imediato após acesso inicial sem credenciais de administrador - PoC de exploit públicado recentemente para software em uso no ambiente sem patch aplicado - Tentativa de exploração de vulnerabilidade N-day em serviço exposto identificada por IPS ## Técnicas Relacionadas - [[T1587.004-exploits|T1587.004 — Develop Capabilities: Exploits]] - [[T1588.005-exploits|T1588.005 — Obtain Capabilities: Exploits]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1211-exploitation-for-defense-evasion|T1211 — Exploitation for Defense Evasion]] ## Analytics Relacionadas - [[an2026-analytic-2026|AN2026 — Analytic 2026]] --- *Fonte: [MITRE ATT&CK — DET0894](https://attack.mitre.org/detectionstrategies/DET0894)*