# T1590.005 - IP Addresses > [!info] Técnica de Reconhecimento Passivo > **ID MITRE:** T1590.005 | **Tática:** Reconnaissance | **Plataforma:** PRE > Subtécnica de [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]]. Coleta passiva que não gera tráfego na rede da vítima e é extremamente difícil de detectar. ## Técnica Pai Esta é uma sub-técnica de [[t1590-gather-victim-network-information|T1590 - T1590 - Gather Victim Network Information]]. ## Descrição A técnica **T1590.005 - IP Addresses** descreve como adversários coletam endereços IP públicos alocados a uma organização como parte da fase de reconhecimento pré-comprometimento. Esta é uma subtécnica de [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]] e serve como base para operações mais invasivas subsequentes. O conhecimento dos endereços IP de uma organização é um pré-requisito fundamental para quase todas as formas de ataque externo. Com um mapa de IPs em mãos, o adversário pode: executar [[t1595-001-scanning-ip-blocks|T1595.001 - Scanning IP Blocks]] para descobrir serviços expostos; correlacionar com dados de geolocalização para entender a distribuição física da infraestrutura; identificar o ISP/provedor de hospedagem para planejar ataques de engenharia social direcionados; detectar padrões de uso que revelam horários de manutenção, failovers, e redundâncias; e cruzar IPs com bancos de dados de reputação para identificar histórico de comportamento malicioso ou comprometimentos anteriores. Grupos APT como [[g0138-andariel|Andariel]] (subgrupo do [[g0032-lazarus-group|Lazarus Group]], Coreia do Norte), [[g0059-magic-hound|Magic Hound]] (APT35, Irã) e [[g0125-silk-typhoon|HAFNIUM]] (China, Microsoft Exchange) documentadamente realizam coleta sistemática de IPs como etapa inicial de suas operações, frequentemente combinando múltiplas fontes para construir um mapa completo da infraestrutura do alvo antes de qualquer ação ofensiva. Esta técnica é executada **inteiramente fora da rede da vítima**, utilizando fontes de dados públicas e semi-públicas. Não há atividade direta nas redes do alvo durante a coleta de IPs, tornando a detecção extremamente difícil. ## Como Funciona A coleta de endereços IP de uma organização-alvo segue múltiplas métodologias, frequentemente executadas em paralelo para construir um mapa completo: **1. Consultas WHOIS e bases RIR:** Os Registros Regionais de Internet (RIRs) mantêm bases públicas de alocação de blocos IP. Para o Brasil e América Latina, o **LACNIC** (lacnic.net) é a autoridade primária. Uma consulta `whois -h whois.lacnic.net AS28573` revela todos os blocos IP alocados a uma organização específica. Ferramentas como `bgpview.io`, `bgp.he.net`, e `ipinfo.io` automatizam e enriquecem essas consultas. **2. Consultas DNS diretas e revertas:** O DNS é uma mina de ouro para mapeamento de IPs. Consultas de registro A/AAAA para o domínio principal e subdomínios revelam IPs de servidores web, serviços de e-mail (MX), CDNs, e servidores de aplicação. A resolução DNS reversa (PTR) de blocos IP conhecidos revela nomes de hosts que confirmam a associação com a organização. Ferramentas como `dnsx`, `subfinder`, e `amass` automatizam essa enumeração. **3. Consulta a Certificaté Transparency Logs:** O protocolo SSL/TLS exige que CAs (Certificaté Authorities) registrem todos os certificados emitidos em logs públicos de Certificaté Transparency (crt.sh, censys.io). Pesquisar por `%.organização.com.br` no crt.sh revela todos os certificados emitidos para subdomínios, incluindo aqueles usados em serviços internos expostos acidentalmente, com os IPs correspondentes. **4. Análise de cabeçalhos de e-mail:** Cabeçalhos de e-mails recebidos de contatos da organização (vendas, suporte, comúnicações oficiais) frequentemente revelam IPs de servidores de e-mail internos no campo `Received: from`. Isso mapeia a infraestrutura de e-mail sem nenhuma interação com a rede da vítima. **5. Histório de DNS e Passive DNS:** Serviços como SecurityTrails, Farsight DNSDB, e VirusTotal mantêm registros históricos de resoluções DNS. Mesmo que a organização tenha migrado para cloud ou trocado IPs, esses registros históricos permitem reconstruir a evolução da infraestrutura e identificar IPs antigos que podem ainda estar ativos. **6. Coleta via fontes de inteligência abertas:** Bancos de dados como Shodan, Censys, e BinaryEdge indexam continuamente toda a internet e permitem busca por organização, ASN, país, e tecnologia. Uma simples consulta `org:"Empresa Alvo" country:"BR"` retorna todos os IPs indexados com serviços expostos, versões de software, e certificados. **7. Análise de BGP routing tables:** Tabelas de roteamento BGP são públicas e permitem identificar todos os blocos IP anunciados por um ASN específico. Serviços como RouteViews, RIPE RIS, e bgp.he.net fornecem visibilidade completa dos prefixos BGP de qualquer organização com sua própria infraestrutura de rede. ## Attack Flow ```mermaid graph TB A["🎯 Identificação do Alvo<br/>Domínio, nome da empresa<br/>CNPJ, ASN inicial"] --> B["🌐 Enumeração DNS<br/>Registros A, AAAA, MX<br/>subdomínios via dnsx/amass"] A --> C["📋 Consulta RIR/WHOIS<br/>LACNIC, ARIN, RIPE<br/>blocos IP alocados"] A --> D["🔐 Certificaté Transparency<br/>crt.sh, censys<br/>subdomínios via SSL certs"] B --> E["🗺️ Mapa de IPs<br/>Endereços ativos<br/>associados ao alvo"] C --> E D --> E E --> F["📧 Análise de Headers<br/>E-mails recebidos<br/>ip de servidores internos"] E --> G["📊 Shodan/Censys Query<br/>Serviços indexados<br/>por org/ASN"] F --> H["🏗️ Mapa Completo<br/>Infraestrutura pública<br/>e semi-pública"] G --> H H --> I["🔍 Correlação Geográfica<br/>ISP, data center<br/>localização física"] H --> J["📅 Passive DNS Histórico<br/>SecurityTrails, DNSDB<br/>evoluções de infraestrutura"] I --> K["🎯 Priorização de Alvos<br/>IPs de maior valor<br/>menos protegidos"] J --> K K --> L["💥 Downstream Techniques<br/>T1595.001 Scanning<br/>T1190 Exploitation<br/>T1133 Remote Services"] ``` ## Exemplos de Uso ### HAFNIUM - Reconhecimento de Exchange Servers O grupo [[g0125-silk-typhoon|HAFNIUM]], atribuído ao governo da China (MSS), foi o responsável pela exploração das vulnerabilidades ProxyLogon (CVE-2021-26855) no Microsoft Exchange em março de 2021. Antes da campanha massiva, o grupo realizou coleta sistemática de IPs de organizações-alvo através de consultas a bancos de dados de Certificaté Transparency para identificar servidores Exchange expostos à internet (certificados com `autodiscover.`, `owa.`, `mail.`), cruzando com resoluções DNS e dados do Shodan para confirmar versões vulneráveis. ### Andariel - Campanhas contra Financeiro e Defesa O [[g0138-andariel|Andariel]], subgrupo do [[g0032-lazarus-group|Lazarus Group]] especializado em ataques a organizações militares e financeiras, utiliza coleta de IPs como primeira etapa antes de campanhas de ransomware e espionagem. O grupo documenta meticulosamente os blocos IP das organizações-alvo, cruzando com dados de geolocalização para identificar servidores em jurisdições com menor cooperação em investigações internacionais - uma consideração tática relevante para operações de longo prazo. ### Magic Hound - Phishing Direcionado por IP O [[g0059-magic-hound|Magic Hound]] (APT35, Charming Kitten) combina dados de IP coletados via T1590.005 com informações de localização física ([[t1591-001-determine-physical-locations|T1591.001]]) para criar campanhas de phishing extremamente direcionadas. Conhecer os IPs de saída de uma organização permite identificar quando funcionários estão acessando sistemas externos, possibilitando ataques de timing (enviar phishing enquanto o funcionário está ativo na rede corporativa) e criação de páginas de phishing que detectam o IP de origem e apresentam conteúdo convincente apenas para alvos confirmados. ### Cenário Prático: Mapeamento de Banco Brasileiro ``` Alvo: Banco hipotético "BancoBR" Domínio: bancobr.com.br 1. WHOIS: AS12345 → blocos 200.x.0.0/16, 177.x.0.0/20 2. DNS: mail.bancobr.com.br → 200.x.1.10 (Exchange) vpn.bancobr.com.br → 200.x.1.25 (Cisco ASA) owa.bancobr.com.br → 200.x.1.11 (Exchange OWA) 3. crt.sh: api.bancobr.com.br → 177.x.5.50 (API banking) admin.bancobr.com.br → 177.x.5.80 (Admin panel) 4. Shodan: 200.x.1.25 → Cisco ASA 9.8.4 (CVE-2018-0101) 5. Resultado: mapa completo em < 30 minutos, sem tocar a rede ``` > [!warning] Exposição Crítica > O exemplo acima ilustra como informações críticas - VPN, Exchange OWA, e painel administrativo - são frequentemente expostas inadvertidamente via DNS público, sem que a equipe de segurança tenha consciência dessa exposição. ## Detecção Como a coleta de IPs ocorre em fontes externas à rede da vítima (RIRs, DNS público, Shodan), a detecção direta é **práticamente impossível**. A estratégia de detecção foca em identificar o uso downstream das informações coletadas. ### Sigma Rule - Enumeração de Subdomínios via DNS ```yaml title: DNS Subdomain Enumeration Activity status: experimental description: > Detecta padrões de enumeração de subdomínios via DNS que podem indicar reconhecimento ativo de infraestrutura por adversários. Alto volume de consultas NXDOMAIN de um mesmo IP de origem é indicador clássico. logsource: category: dns product: bind detection: selection_nxdomain_flood: rcode: NXDOMAIN timeframe: 60s condition: selection_nxdomain_flood | count() by client_ip > 50 level: medium tags: - attack.reconnaissance - attack.t1590.005 falsepositives: - Ferramentas de monitoramento DNS (dnstop, q) - Testes automatizados de integração que verificam domínios inexistentes - Crawlers de SEO legítimos ``` ### Sigma Rule - Acesso a IPs após Enumeração ```yaml title: First-Time Access to Previously Passive Infrastructure status: experimental description: > Detecta conexões de entrada para IPs/serviços da organização que historicamente não recebiam tráfego externo, podendo indicar exploração após mapeamento de IPs. logsource: category: firewall product: generic detection: selection: direction: inbound action: allow filter_known_sources: src_ip|cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' condition: selection and not filter_known_sources level: low tags: - attack.reconnaissance - attack.t1590.005 ``` ### Abordagem de Detecção Indireta | Indicador | Método de Detecção | Ferramenta | |-----------|--------------------|------------| | Enumeração DNS acelerada | Alto volume NXDOMAIN de mesmo IP | DNS resolver logs + SIEM | | Consultas WHOIS em massa | Logs de acesso ao LACNIC/ARIN API | Threat intel feed | | Scraping de Certificaté Transparency | Alto volume de consultas a crt.sh por IP da organização | WAF + Web logs | | Scanning pós-enumeração | Correlação temporal entre enumeração DNS e port scan | IDS/IPS + correlação SIEM | | Acesso a passive DNS/Shodan | Monitoramento de exposição proativa | Shodan Monitor, Censys Monitor | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Redução da superfície de exposição de IPs: minimizar serviços expostos públicamente, usar DNS split-horizon para ocultar infraestrutura interna, remover registros DNS desnecessários, e monitorar proativamente a própria exposição via Shodan/Censys. | ### Controles Técnicos Recomendados > [!tip] Gestão de Superfície de Ataque - IPs e DNS > **Minimização de exposição DNS:** > - Implementar DNS split-horizon: servidores internos não devem ter registros DNS públicos > - Remover registros DNS de sistemas desativados (DNS cleanup regular) > - Usar subdomínios não-descritivos para serviços sensíveis (evitar `vpn.`, `admin.`, `internal.`) > - Rever registros DNS mensalmente para identificar exposições inadvertidas > > **Gestão de blocos IP:** > - Documentar todos os blocos IP alocados via LACNIC e manter inventário atualizado > - Monitorar proativamente via `shodan monitor` e Censys para descobrir serviços expostos > - Usar IP ranges dedicados para serviços públicos vs. internos (nunca misturar) > > **Proteção de cabeçalhos:** > - Configurar servidores de e-mail para não vazar IPs internos em cabeçalhos `Received: from` > - Usar proxies/gateways de e-mail que sanitizem cabeçalhos antes da entrega externa > > **Monitoramento de exposição:** > - Configurar alertas no Shodan Monitor e Censys para novos hosts descobertos nos blocos da organização > - Realizar ASM (Attack Surface Management) periódico com ferramentas como EASM da Tenable, CyCognito, ou Attack Surface Management da Palo Alto ## Contexto Brasil/LATAM O mapeamento de IPs de organizações brasileiras e latino-americanas tem características específicas que merecem aténção: **LACNIC como ponto central:** Toda a alocação de IPs para América Latina e Caribe passa pelo LACNIC (lacnic.net). A base WHOIS do LACNIC é pública e detalhada, incluindo não apenas os blocos, mas também dados de contato administrativo e técnico dos responsáveis - uma informação valiosa para ataques de engenharia social direcionados. **Adoção de IPv6 e exposição ampliada:** O Brasil lidera a adoção de IPv6 na América Latina (top 5 mundial em % de tráfego IPv6 segundo o Google IPv6 Statistics). Muitas organizações brasileiras possuem blocos /32 inteiros de IPv6, representando uma superfície de endereçamento teoricamente varrível por adversários sofisticados. **Cloud e IPs efêmeros:** Com a migração para AWS (Região São Paulo - sa-east-1), Azure (Brasil Sul - Brazil South), e GCP (São Paulo), muitas organizações brasileiras passaram a usar IPs de provedores de cloud que mudam com frequência. Isso cria um desafio de visibilidade - a organização pode não saber exatamente quais IPs estão ativos em um dado momento, enquanto o adversário usa ferramentas de descoberta contínua. **Grupos APT e foco em LATAM:** - [[g0138-andariel|Andariel]] (Lazarus subgroup) tem histórico documentado de ataques ao setor financeiro e de defesa brasileiro - [[g0125-silk-typhoon|HAFNIUM]] explorou Exchange servers no Brasil durante a campanha ProxyLogon de 2021 - [[g0059-magic-hound|Magic Hound]] conduziu operações contra pesquisadores e organizações governamentais na região **Estatísticas de exposição (Brasil, 2024-2025):** Dados do Shodan para IPs no Brasil mostram consistentemente: - +150.000 RDPs (3389) expostos - +80.000 instâncias SMB (445) acessíveis - +40.000 bancos de dados sem autenticação (MongoDB, Redis, MySQL) - +25.000 painéis de administração expostos (Kibana, Grafana, phpMyAdmin) > [!example] Caso Real - HAFNIUM no Brasil > Durante a campanha ProxyLogon (março 2021), o HAFNIUM mapeou sistematicamente IPs de organizações brasileiras com Microsoft Exchange exposto via enumeração de Certificaté Transparency (subdomínios `autodiscover.`, `owa.`, `mail.`). O CERT.br registrou centenas de Exchange servers brasileiros comprometidos nessa campanha, todos identificados via mapeamento de IPs antes da exploração. ## Referências - [MITRE ATT&CK - T1590.005 IP Addresses](https://attack.mitre.org/techniques/T1590/005/) - [MITRE ATT&CK - T1590 Gather Victim Network Information](https://attack.mitre.org/techniques/T1590/) - [[g0138-andariel|Andariel]] - Subgrupo Lazarus, coleta de IPs documentada - [[g0059-magic-hound|Magic Hound]] - APT35, uso documentado desta técnica - [[g0125-silk-typhoon|HAFNIUM]] - Campanha ProxyLogon com mapeamento de IPs via CT logs - [[m1056-pre-compromise|M1056 - Pre-compromise]] - Mitigação primária - [[t1595-001-scanning-ip-blocks|T1595.001 - Scanning IP Blocks]] - Técnica downstream de varredura ativa - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - Shodan/Censys como fonte de IPs - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - Infraestrutura operacional na mesma região - [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]] - Comprometimento de infra da vítima após mapeamento - [[t1133-external-remote-services|T1133 - External Remote Services]] - Exploração de serviços identificados - [LACNIC WHOIS](https://query.milacnic.lacnic.net/whois) - [crt.sh - Certificaté Transparency Search](https://crt.sh/) - [Shodan - Internet Intelligence](https://www.shodan.io/) - [CERT.br - Incidentes ProxyLogon no Brasil](https://www.cert.br/docs/whitepapers/) --- *Fonte: [MITRE ATT&CK - T1590.005](https://attack.mitre.org/techniques/T1590/005) | Versão MITRE: 16.2*