ta0043-reconnaissance

# TA0043 — Reconnaissance ## Descrição A fase de Reconhecimento engloba todas as atividades que o adversário realiza **antes** do ataque propriamente dito, com o objetivo de coletar informações sobre a organização-alvo. Essas informações alimentam as decisões táticas posteriores: quais vetores de entrada explorar, quais credenciais tentar reutilizar e quais sistemas são mais valiosos. O reconhecimento pode ser **ativo** — envolvendo interação direta com a infraestrutura alvo (varreduras de porta, fingerprinting de serviços, enumeração de diretórios) — ou **passivo**, explorando fontes abertas (OSINT), registros DNS públicos, repositórios de código, perfis de redes sociais e bases de vazamentos. Grupos como [[ Fancy Bear]] e [[g1017-volt-typhoon|Volt Typhoon]] investem semanas ou meses nesta fase antes de qualquer ação ofensiva. No contexto LATAM e brasileiro, a fase de reconhecimento frequentemente foca em servidores web corporativos expostos, portais de acesso remoto (VPN, RDP), e identidades de funcionários expostas em redes sociais e LinkedIn — informações suficientes para montar campanhas de spear-phishing altamente direcionadas contra o setor [[financial|financeiro]] e [[government|governo]]. ## Posição no Kill Chain ```mermaid graph TB R["🔍 Reconhecimento"]:::active --> RD["Desenvolvimento<br/>de Recursos"]:::inactive RD --> IA["Acesso Inicial"]:::inactive IA --> EX["Execução"]:::inactive EX --> PE["Persistência"]:::inactive PE --> PR["Esc. Privilégios"]:::inactive PR --> DE["Evasão de Defesas"]:::inactive DE --> CA["Acesso a<br/>Credenciais"]:::inactive CA --> DI["Descoberta"]:::inactive DI --> LM["Mov. Lateral"]:::inactive LM --> CO["Coleta"]:::inactive CO --> C2["Comando e<br/>Controle"]:::inactive C2 --> EXF["Exfiltração"]:::inactive EXF --> IM["Impacto"]:::inactive classDef active fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:3px classDef inactive fill:#2c3e50,color:#95a5a6,stroke:#1a252f ``` ## Técnicas desta Tática no Vault %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE mitre-tactic = "Reconnaissance" SORT mitre-id ASC ``` %%   | Nota | ID | Técnica | Plataformas | | ------------------------------------------------------------------------------------------------------------------------- | --------- | ------------------------------------------ | --------------------- | | [[t1589-gather-victim-identity-information\|T1589 - Gather Victim Identity Information]] | T1589 | T1589 - Gather Victim Identity Information | <ul><li>PRE</li></ul> | | [[t1589-001-credentials\|T1589.001 - Credentials]] | T1589.001 | T1589.001 - Credentials | <ul><li>PRE</li></ul> | | [[t1589-002-email-addresses\|T1589.002 - Email Addresses]] | T1589.002 | T1589.002 - Email Addresses | <ul><li>PRE</li></ul> | | [[t1589-003-employee-names\|T1589.003 - Employee Names]] | T1589.003 | T1589.003 - Employee Names | <ul><li>PRE</li></ul> | | [[t1590-gather-victim-network-information\|T1590 - Gather Victim Network Information]] | T1590 | T1590 - Gather Victim Network Information | <ul><li>PRE</li></ul> | | [[t1590-001-domain-properties\|T1590.001 - Domain Properties]] | T1590.001 | T1590.001 - Domain Properties | <ul><li>PRE</li></ul> | | [[t1590-002-dns\|T1590.002 - DNS]] | T1590.002 | T1590.002 - DNS | <ul><li>PRE</li></ul> | | [[t1590-003-network-trust-dependencies\|T1590.003 - Network Trust Dependencies]] | T1590.003 | T1590.003 - Network Trust Dependencies | <ul><li>PRE</li></ul> | | [[t1590-004-network-topology\|T1590.004 - Network Topology]] | T1590.004 | T1590.004 - Network Topology | <ul><li>PRE</li></ul> | | [[t1590-005-ip-addresses\|T1590.005 - IP Addresses]] | T1590.005 | T1590.005 - IP Addresses | <ul><li>PRE</li></ul> | | [[t1590-006-network-security-appliances\|T1590.006 - Network Security Appliances]] | T1590.006 | T1590.006 - Network Security Appliances | <ul><li>PRE</li></ul> | | [[t1591-gather-victim-org-information\|T1591 - Gather Victim Org Information]] | T1591 | T1591 - Gather Victim Org Information | <ul><li>PRE</li></ul> | | [[t1591-001-determine-physical-locations\|T1591.001 - Determine Physical Locations]] | T1591.001 | T1591.001 - Determine Physical Locations | <ul><li>PRE</li></ul> | | [[t1591-002-business-relationships\|T1591.002 - Business Relationships]] | T1591.002 | T1591.002 - Business Relationships | <ul><li>PRE</li></ul> | | [[t1591-003-identify-business-tempo\|T1591.003 - Identify Business Tempo]] | T1591.003 | T1591.003 - Identify Business Tempo | <ul><li>PRE</li></ul> | | [[t1591-004-identify-roles\|T1591.004 - Identify Roles]] | T1591.004 | T1591.004 - Identify Roles | <ul><li>PRE</li></ul> | | [[t1592-gather-victim-host-information\|T1592 - Gather Victim Host Information]] | T1592 | T1592 - Gather Victim Host Information | <ul><li>PRE</li></ul> | | [[t1592-001-hardware\|T1592.001 - Hardware]] | T1592.001 | T1592.001 - Hardware | <ul><li>PRE</li></ul> | | [[t1592-002-software\|T1592.002 - Software]] | T1592.002 | T1592.002 - Software | <ul><li>PRE</li></ul> | | [[t1592-003-firmware\|T1592.003 - Firmware]] | T1592.003 | T1592.003 - Firmware | <ul><li>PRE</li></ul> | | [[t1592-004-client-configurations\|T1592.004 - Client Configurations]] | T1592.004 | T1592.004 - Client Configurations | <ul><li>PRE</li></ul> | | [[t1593-search-open-websitesdomains\|T1593 - Search Open Websites/Domains]] | T1593 | T1593 - Search Open Websites/Domains | <ul><li>PRE</li></ul> | | [[t1593-001-social-media\|T1593.001 - Social Media]] | T1593.001 | T1593.001 - Social Media | <ul><li>PRE</li></ul> | | [[t1593-002-search-engines\|T1593.002 - Search Engines]] | T1593.002 | T1593.002 - Search Engines | <ul><li>PRE</li></ul> | | [[t1593-003-code-repositories\|T1593.003 - Code Repositories]] | T1593.003 | T1593.003 - Code Repositories | <ul><li>PRE</li></ul> | | [[t1594-search-victim-owned-websites\|T1594 - Search Victim-Owned Websites]] | T1594 | T1594 - Search Victim-Owned Websites | <ul><li>PRE</li></ul> | | [[t1595-active-scanning\|T1595 - Active Scanning]] | T1595 | T1595 - Active Scanning | <ul><li>PRE</li></ul> | | [[t1595-001-scanning-ip-blocks\|T1595.001 - Scanning IP Blocks]] | T1595.001 | T1595.001 - Scanning IP Blocks | <ul><li>PRE</li></ul> | | [[t1595-002-vulnerability-scanning\|T1595.002 - Vulnerability Scanning]] | T1595.002 | T1595.002 - Vulnerability Scanning | <ul><li>PRE</li></ul> | | [[t1595-003-wordlist-scanning\|T1595.003 - Wordlist Scanning]] | T1595.003 | T1595.003 - Wordlist Scanning | <ul><li>PRE</li></ul> | | [[t1596-search-open-technical-databases\|T1596 - Search Open Technical Databases]] | T1596 | T1596 - Search Open Technical Databases | <ul><li>PRE</li></ul> | | [[t1596-001-dnspassive-dns\|T1596.001 - DNS/Passive DNS]] | T1596.001 | T1596.001 - DNS/Passive DNS | <ul><li>PRE</li></ul> | | [[t1596-002-whois\|T1596.002 - WHOIS]] | T1596.002 | T1596.002 - WHOIS | <ul><li>PRE</li></ul> | | [[t1596-003-digital-certificates\|T1596.003 - Digital Certificates]] | T1596.003 | T1596.003 - Digital Certificates | <ul><li>PRE</li></ul> | | [[t1596-004-cdns\|T1596.004 - CDNs]] | T1596.004 | T1596.004 - CDNs | <ul><li>PRE</li></ul> | | [[t1596-005-scan-databases\|T1596.005 - Scan Databases]] | T1596.005 | T1596.005 - Scan Databases | <ul><li>PRE</li></ul> | | [[t1597-search-closed-sources\|T1597 - Search Closed Sources]] | T1597 | T1597 - Search Closed Sources | <ul><li>PRE</li></ul> | | [[t1597-001-threat-intel-vendors\|T1597.001 - Threat Intel Vendors]] | T1597.001 | T1597.001 - Threat Intel Vendors | <ul><li>PRE</li></ul> | | [[t1597-002-purchase-technical-data\|T1597.002 - Purchase Technical Data]] | T1597.002 | T1597.002 - Purchase Technical Data | <ul><li>PRE</li></ul> | | [[t1598-phishing-for-information\|T1598 - Phishing for Information]] | T1598 | T1598 - Phishing for Information | <ul><li>PRE</li></ul> | | [[t1598-001-spearphishing-service\|T1598.001 - Spearphishing Service]] | T1598.001 | T1598.001 - Spearphishing Service | <ul><li>PRE</li></ul> | | [[t1598-002-spearphishing-attachment\|T1598.002 - Spearphishing Attachment]] | T1598.002 | T1598.002 - Spearphishing Attachment | <ul><li>PRE</li></ul> | | [[t1598-003-spearphishing-link\|T1598.003 - Spearphishing Link]] | T1598.003 | T1598.003 - Spearphishing Link | <ul><li>PRE</li></ul> | | [[t1598-004-spearphishing-voice\|T1598.004 - Spearphishing Voice]] | T1598.004 | T1598.004 - Spearphishing Voice | <ul><li>PRE</li></ul> | | [[t1681-search-threat-vendor-data\|T1681 - Search Threat Vendor Data]] | T1681 | T1681 - Search Threat Vendor Data | <ul><li>PRE</li></ul> |  ## Mindmap — Técnicas de Reconhecimento ```mermaid mindmap root((TA0043<br/>Reconhecimento)) Varredura Ativa T1595 Active Scanning Port Scanning Vulnerability Scanning Wordlist Scanning Coleta de Informação T1598 Phishing for Information T1591 Gather Victim Org Info T1592 Gather Victim Host Info T1593 Search Open Websites OSINT T1596 Search Open Tech DBs T1597 Search Closed Sources Shodan / Censys LinkedIn / WHOIS Infraestrutura DNS Enumeration Certificaté Transparency ASN / IP Range Mapping ``` ## Atores que Utilizam esta Tática Práticamente todos os grupos APT documentados realizam reconhecimento antes de operações. Os mais sofisticados em reconhecimento: | Ator | Especialidade de Reconhecimento | |------|--------------------------------| | [[Fancy Bear]] | OSINT, spear-phishing direcionado, varredura de infraestrutura | | [[g1017-volt-typhoon\|Volt Typhoon]] | Reconhecimento de infraestrutura crítica, mapeamento de LOTL | | [[g0096-apt41\|APT41]] | Reconhecimento combinado — espionagem + crime financeiro | | [[g0032-lazarus-group\|Lazarus Group]] | Perfilamento de alvos financeiros, exchanges de criptomoeda | | [[g0034-sandworm\|Sandworm]] | Reconhecimento de redes industriais e energia | ## Detecção e Mitigação ### Detecção - **Honeypots e honeytokens:** Endereços de e-mail falsos, credenciais de isca em pastas expostas - **DNS passivo:** Monitorar consultas DNS reverso e enumeração de registros - **Logs de firewall:** Varreduras de porta produzem padrões de tráfego anômalos (conexões SYN sem resposta) - **Alertas de Certificaté Transparency:** Monitorar novos certificados para domínios da organização - **Threat Intelligence:** Feeds como [[Shodan]] e [[Censys]] disponibilizam dados que os adversários também usam — auditoria periódica da superfície de exposição ### Mitigação - Reduzir superfície de ataque pública: desabilitar serviços não essenciais, fechar portas desnecessárias - Usar [[t1595-*|`robots.txt`]] com discrição (pode mapear estruturas internas) - Implementar raté limiting em endpoints de login para dificultar enumeração - Sanitizar banners de serviço (versão de software, sistema operacional) - Treinar funcionários para não expor informações técnicas em redes sociais ## Relevância LATAM/Brasil No Brasil, o reconhecimento de alvos financeiros é altamente sofisticado. Grupos como [[pix-threat-actors|atores focados em PIX]] e fraudes bancárias realizam mapeamento extensivo de colaboradores de bancos via LinkedIn antes de campanhas de engenharia social. Ameaças de espionagem com foco em infraestrutura crítica nacional — energia, petróleo (Petrobras), telecomúnicações — também demonstram reconhecimento prolongado antes de qualquer intrusão. O [[feeds|CERT.br]] documenta campanhas de varredura massiva contra ASNs brasileiros regularmente. - [[ta0042-resource-development|TA0042 - Resource Development]] — próxima fase após reconhecimento - [[t1595-active-scanning|T1595 - Active Scanning]] — varredura ativa de infraestrutura - [[t1598-phishing-for-information|T1598 - Phishing for Information]] — coleta via engenharia social - [[t1566-phishing|T1566 - Phishing]] — técnica de acesso inicial derivada do recon - [[ Fancy Bear]] — grupo reconhecido por reconhecimento avançado - [[g1017-volt-typhoon|Volt Typhoon]] — espionagem de infraestrutura crítica - [[_techniques|Índice de Técnicas]] — visão geral de todas as técnicas documentadas ## Referências - [[ta0043-*|MITRE ATT&CK - TA0043 Reconnaissance]] - [CERT.br — Relatórios de Incidentes](https://www.cert.br/stats/)