# DET0895 — Detection of Acquire Infrastructure ## Descrição A estratégia DET0895 aborda a detecção do processo de aquisição de infraestrutura por adversários para suporte a operações. Isso inclui registro de domínios, provisionamento de VPS e servidores dedicados, aquisição de endereços IP, configuração de serviços cloud, e obtenção de certificados TLS. A aquisição de infraestrutura é tipicamente a primeira etapa de preparação antes de qualquer operação ofensiva e deixa rastros em registros públicos que podem ser detectados proativamente. A inteligência sobre infraestrutura adversarial antes do ataque é o estado ideal de detecção: identificar e bloquear domínios e IPs maliciosos antes que sejam usados em operações permite interromper ataques na fase de preparação. Plataformas como DomainTools, RiskIQ, Shodan e Censys permitem rastrear padrões de aquisição de infraestrutura associados a grupos específicos — como preferências de registrar, range de datas de registro, padrão de nomenclatura de domínios, e combinações de provedores de hosting. A detecção proativa exige correlação de dados de múltiplas fontes: CT logs para novos certificados, registros WHOIS para novos domínios com padrões suspeitos, varreduras de internet para novos servidores com fingerprints associados a frameworks de C2, e feeds de inteligência de threat actors sobre infraestrutura nova associada a campanhas em preparação. ## Indicadores de Detecção - Novo domínio registrado com padrão de nomenclatura similar a campanhas anteriores do mesmo ator - VPS provisionado em range de IP historicamente associado a infraestrutura de grupo de ameaças - Certificado TLS emitido com Subject alternativo incluindo subdomínios corporativos não autorizados - Servidor respondendo a scan com fingerprint de Cobalt Strike, Metasploit ou outro framework C2 - Domínio registrado via mesmo registrar e dados WHOIS de campanha anterior identificada - Novo servidor em hosting provider baixo custo configurado com portas e serviços de framework C2 - Correlação de infraestrutura recém-adquirida com IoCs de campanha ativa em feeds de inteligência ## Técnicas Relacionadas - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[T1583.001-domains|T1583.001 — Domains]] - [[T1583.004-server|T1583.004 — Server]] - [[T1583.006-web-services|T1583.006 — Web Services]] - [[T1587.003-certificates|T1587.003 — Develop Capabilities: Digital Certificates]] - [[t1608-stage-capabilities|T1608 — Stage Capabilities]] ## Analytics Relacionadas - [[an2027-analytic-2027|AN2027 — Analytic 2027]] --- *Fonte: [MITRE ATT&CK — DET0895](https://attack.mitre.org/detectionstrategies/DET0895)*