t1590-gather-victim-network-information

# T1590 - Gather Victim Network Information ## Descrição Adversários coletam informações sobre a infraestrutura de rede da vítima como etapa fundamental do planejamento de ataques. Essa fase de reconhecimento precede quase toda operação sofisticada - atores de ameaça como [[g1017-volt-typhoon|Volt Typhoon]], [[g0125-silk-typhoon|HAFNIUM]] e [[g0119-indrik-spider|Indrik Spider]] investem semanas ou meses mapeando silenciosamente a superfície de ataque de um alvo antes de qualquer ação ofensiva. As informações coletadas abrangem dados administrativos (intervalos de IP, nomes de domínio, registros de propriedade), topologia de rede (arquitetura de roteamento, segmentação, relações de confiança entre redes), informações de DNS (registros A, MX, NS, SPF, DMARC, DKIM), endereços IP e blocos CIDR, e configurações de appliances de segurança (firewalls, proxies, balanceadores de carga, VPNs). Cada fragmento de informação reduz a incerteza do atacante e aumenta a probabilidade de sucesso em fases posteriores. O reconhecimento de rede é especialmente relevante no contexto brasileiro e latino-americano, onde organizações do setor [[_sectors|financeiro]], [[government|governo]] e [[energy|energia]] frequentemente expõem metadados de infraestrutura via certificados TLS públicos, registros WHOIS desatualizados e bancos de dados de roteamento (BGP). Grupos com nexo estatal - como o [[g1017-volt-typhoon|Volt Typhoon]] (China) - utilizam essa técnica de forma sistemática contra infraestrutura crítica antes de estabelecer acesso persistente de longo prazo. ## Como Funciona O adversário emprega múltiplos vetores para coletar informações de rede da vítima: **1. Consultas a fontes abertas passivas** Ferramentas como Shodan, Censys e FOFA indexam ativamente toda a internet, expondo portas abertas, banners de serviço, certificados TLS e versões de software. Um atacante pode pesquisar o ASN de uma organização e obter um mapa detalhado de seus serviços expostos sem enviar um único pacote diretamente ao alvo. **2. Análise de DNS** Registros DNS públicos revelam infraestrutura interna: subdomínios, servidores de e-mail (MX), servidores de autoridade (NS), registros SPF que listam servidores de e-mail legítimos, e registros TXT com informações de verificação de serviços cloud. Transferências de zona DNS mal configuradas (AXFR) podem expor a totalidade dos registros internos. **3. Consultas WHOIS e registros de roteamento** Registros WHOIS (via ARIN, LACNIC para a América Latina, RIPE) expõem blocos de IP, dados de contato técnico e administrativo, e datas de registro. Tabelas de roteamento BGP (disponíveis via BGPView, RIPEstat) revelam relações de peering e a topologia de conectividade de uma organização. **4. Varredura ativa (T1595)** Complementando dados passivos, adversários podem realizar [[t1595-active-scanning|varredura ativa]] direta nos intervalos de IP identificados, mapeando portas, serviços e dispositivos de rede de segurança como firewalls e proxies reversos. **5. Enumeração de certificados TLS** Logs de Certificaté Transparency (CT) são repositórios públicos de todos os certificados TLS emitidos. Ferramentas como `crt.sh` permitem enumerar todos os subdomínios para os quais certificados foram emitidos, revelando infraestrutura que a organização considera interna ou não divulgada. ## Attack Flow ```mermaid graph TB A[Adversário identifica alvo] --> B[Consultas OSINT passivas] B --> C{Tipo de fonte} C --> D[DNS / WHOIS / LACNIC] C --> E[Shodan / Censys / FOFA] C --> F[Certificaté Transparency] C --> G[BGP / tabelas de roteamento] D --> H[Mapeamento de domínios e IPs] E --> H F --> H G --> H H --> I[Identificação de appliances de segurança] I --> J[Mapeamento de topologia e trust dependencies] J --> K[Seleção de vetor de ataque inicial] K --> L[Aquisição ou comprometimento de infraestrutura] L --> M[Acesso inicial T1190 / T1199 / T1566] ``` ## Exemplos de Uso ### Volt Typhoon - Operação Pré-posicionamento em Infraestrutura Crítica O [[g1017-volt-typhoon|Volt Typhoon]], grupo com nexo ao governo chinês, documentado pelo CISA e Microsoft em 2023, realizou reconhecimento extensivo de redes de infraestrutura crítica nos EUA e aliados. A operação utilizou ferramentas OSINT passivas para mapear topologia de rede, relações de confiança entre organizações (relevante para ataques de [[t1199-trusted-relationship|Trusted Relationship]]) e pontos de entrada via VPN e equipamentos de acesso remoto. O grupo notavelmente evitou ferramentas de malware tradicionais, preferindo utilitários nativos do sistema (*living off the land*) para minimizar detecção - tornando a fase de reconhecimento de rede anterior particularmente crítica para o planejamento do ataque. ### HAFNIUM - Mapeamento Pré-Exploração Exchange Antes da exploração em massa das vulnerabilidades do Microsoft Exchange em 2021 (ProxyLogon), o [[g0125-silk-typhoon|HAFNIUM]] realizou reconhecimento de servidores Exchange expostos à internet, identificando organizações específicas por setor e região. A enumeração de subdomínios via Certificaté Transparency e consultas DNS permitiu ao grupo priorizar alvos de alto valor antes de iniciar a fase de exploração. ### Grupos Ransomware na América Latina Operadores de ransomware ativos no Brasil - incluindo afiliados do [[lockbit|LockBit]] e grupos como [[black-basta|Black Basta]] - frequentemente realizam reconhecimento de rede antes de comprometer organizações. Fontes abertas como o LACNIC (registro de endereços IP para a América Latina) e dados de BGP disponíveis públicamente facilitam o mapeamento inicial da superfície de ataque. ## Detecção Esta técnica opera majoritariamente fora do ambiente da vítima, o que torna a detecção direta extremamente difícil. As principais oportunidades de detecção estão em: - **Monitoramento de acessos a registros públicos:** Alguns serviços WHOIS e de registro de domínio oferecem alertas para consultas relacionadas à organização. - **Honeypots e ativos fictícios:** Publicar subdomínios fictícios em registros DNS e monitorar acessos a esses hosts pode revelar reconhecimento ativo. - **Análise de logs de acesso a Certificaté Transparency:** Verificar acessos incomuns a `crt.sh` para o domínio da organização. ```yaml title: Enumeração de Subdomínios via CT Logs status: experimental logsource: category: network product: proxy detection: selection: cs-uri-host|contains: - "crt.sh" - "censys.io" - "shodan.io" - "fofa.info" cs-uri-query|contains: - ".br" - "target-domain.com" condition: selection level: low tags: - attack.reconnaissance - attack.t1590 ``` > [!warning] Limitação de Detecção > A maioria das ações de T1590 ocorre em infraestrutura de terceiros (Shodan, LACNIC, registros DNS públicos). A vítima tipicamente **não tem visibilidade** dessas consultas. A detecção é mais eficaz como análise pós-incidente ou via serviços de inteligência de ameaças externos. ## Sub-técnicas - [[t1590-001-domain-properties|T1590.001 - Domain Properties]] - [[t1590-002-dns|T1590.002 - DNS]] - [[t1590-003-network-trust-dependencies|T1590.003 - Network Trust Dependencies]] - [[t1590-004-network-topology|T1590.004 - Network Topology]] - [[t1590-005-ip-addresses|T1590.005 - IP Addresses]] - [[t1590-006-network-security-appliances|T1590.006 - Network Security Appliances]] ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Limitar informações de rede expostas públicamente; revisar e sanitizar dados em WHOIS e registros DNS; implementar políticas de públicação mínima de informações de infraestrutura | **Medidas adicionais recomendadas:** - **Revisão periódica de WHOIS:** Garantir que dados de contato técnico não exponham nomes de funcionários, e-mails internos ou estrutura organizacional. - **Auditoria de DNS:** Verificar registros SPF, TXT e subdomínios que possam revelar fornecedores de cloud, serviços SaaS ou infraestrutura interna. - **Monitoramento de Certificaté Transparency:** Assinar alertas em `crt.sh` ou serviços equivalentes para receber notificações quando certificados forem emitidos para domínios da organização. - **Minimização de exposição BGP:** Anunciar apenas os blocos de IP necessários e manter informações de peering atualizadas. - **Red Team exercícios de reconhecimento:** Simular periodicamente reconhecimento externo para identificar o que um adversário consegue mapear sobre a organização. ## Contexto Brasil/LATAM O Brasil representa um ambiente particularmente desafiador para a proteção de informações de rede por algumas razões estruturais: **LACNIC como fonte de inteligência:** O registro de endereços IP para a América Latina e o Caribe (LACNIC) mantém um banco de dados público robusto. Consultas ao LACNIC por ASN ou organização revelam blocos de IP alocados, informações de contato técnico e administrativo, e histórico de alocações. Adversários focados na região usam sistematicamente o LACNIC como ponto de partida para reconhecimento. **Exposição de infraestrutura do setor financeiro:** Bancos e fintechs brasileiras operam infraestrutura crítica com grande superfície de ataque exposta. O [[_sectors|setor financeiro]] é o mais visado no Brasil, e a enumeração de sua infraestrutura de rede precede campanhas de fraude, phishing direcionado e tentativas de comprometimento de sistemas de pagamento como o PIX. **Concentração de infraestrutura em poucos ASNs:** Diferentemente dos EUA, uma fração significativa da infraestrutura corporativa brasileira está concentrada em poucos provedores de nuvem e conectividade (AWS sa-east-1, Azure Brazil South, Embratel, VIVO/Telefônica). Isso facilita o mapeamento de alvos por setor usando dados de BGP e registros de certificados. **Grupos relevantes ativos na região:** - [[g1004-lapsus|LAPSUS$]] - operou extensivamente no Brasil antes de expansão global, utilizando reconhecimento de rede para identificar alvos de telecomúnicações e tecnologia - Grupos de ransomware (ALPHV/BlackCat, LockBit, Cl0p) com afiliados ativos no Brasil - [[g0050-apt32|APT32]] (OceanLotus) - grupo vietnamita com histórico de operações na América Latina ## Fontes de Dados - **Fontes de detecção:** Logs de DNS, registros de acesso a proxies/firewalls, monitoramento de Certificaté Transparency - **MITRE ATT&CK:** [T1590 - Gather Victim Network Information](https://attack.mitre.org/techniques/T1590) - **LACNIC:** https://www.lacnic.net/ - **CISA Advisory on Volt Typhoon:** https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a ## Referências - [MITRE ATT&CK - T1590](https://attack.mitre.org/techniques/T1590) - [CISA Advisory AA23-144A - Volt Typhoon](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a) - [Microsoft - Volt Typhoon Targets US Critical Infrastructure](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/) - [LACNIC - Registro de Endereços IP para América Latina](https://www.lacnic.net/) - [Shodan - Motor de busca para dispositivos conectados](https://www.shodan.io/) - [Certificaté Transparency - crt.sh](https://crt.sh/)