t1592-002-software

# T1592.002 - Software > [!info] Identificação MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1592.002 · **Técnica pai:** [[t1592-gather-victim-host-information|T1592 - Gather Victim Host Information]] ## Descrição A técnica **T1592.002 - Software** descreve como adversários coletam informações sobre os softwares instalados nos sistemas da organização-alvo antes de iniciar operações ofensivas. Essas informações abrangem tipos e versões de aplicações, sistemas operacionais, middlewares, frameworks de desenvolvimento, ferramentas de segurança (EDRs, SIEMs, antivírus) e qualquer componente de software que possa indicar a postura de defesa do alvo ou a presença de vulnerabilidades exploráveis. O mapeamento preciso do inventário de software permite ao adversário selecionar exploits específicos para versões vulneráveis, identificar brechas onde proteções estão ausentes e personalizar payloads que evitam a detecção pelos controles existentes. A coleta de informações sobre software instalado pode ocorrer de diversas formas, desde técnicas passivas de OSINT até coleta ativa via [[t1595-active-scanning|T1595 - Active Scanning]]. Uma abordagem frequentemente subestimada é a análise de metadados em arquivos públicos da organização: documentos PDF, apresentações PowerPoint, imagens e planilhas Excel públicados em sites corporativos ou em repositórios públicos frequentemente contêm metadados com versões de software (ex: "Criado com Microsoft Word 16.0.14931", "Adobe Acrobat 2017"). Essas informações são facilmente extraídas com ferramentas como `exiftool` e permitem identificar instalações desatualizadas. Vagas de emprego para posições de TI são outra fonte rica, frequentemente listando tecnologias utilizadas internamente como Splunk, Cisco ASA, Oracle ou SAP. Informações sobre software instalado têm valor estratégico direto porque mapeiam oportunidades para exploração de vulnerabilidades conhecidas. Um adversário que descobre que a organização usa uma versão específica de Ivanti VPN, Cisco IOS ou FortiGaté pode consultar bancos de dados de CVEs (como o CISA KEV) para identificar vulnerabilidades críticas não corrigidas e desenvolver ou adquirir exploits correspondentes. Grupos como [[g0059-magic-hound|Magic Hound]] (APT35, Charming Kitten), [[g0034-sandworm|Sandworm Team]] e [[g0138-andariel|Andariel]] utilizam sistematicamente essa subtécnica para garantir que seus ataques alcancem máxima eficácia com mínima exposição. ## Como Funciona **Extração de metadados de documentos (Document Metadata Mining):** Arquivos públicados por organizações em websites, portais de licitação, redes sociais corporativas e repositórios de código frequentemente contêm metadados reveladores. Ferramentas como `exiftool`, `pdfinfo` e `strings` extraem automaticamente dados de criador, software utilizado, versão, data de modificação e hostname da máquina criadora. Adversários automatizam essa coleta indexando documentos com ferramentas como FOCA (Fingerprinting Organizations with Collected Archives), que faz crawling de um domínio e extrai metadados de todos os documentos encontrados. **Análise de banners e headers de serviços expostos:** Serviços web, servidores de e-mail, VPNs e outros sistemas expostos à Internet transmitem banners de identificação com versões de software. Um servidor Apache pode retornar `Server: Apache/2.4.51 (Ubuntu)`, enquanto servidores Exchange expõem sua versão via OWA. Ferramentas de OSINT como Shodan, Censys e FOFA indexam permanentemente esses banners e permitem que adversários identifiquem instalações vulneráveis sem nunca interagir diretamente com os sistemas alvo. **Análise de ofertas de emprego e redes sociais profissionais:** Vagas de emprego para analistas de segurança, administradores de sistemas e engenheiros de infraestrutura frequentemente listam tecnologias requeridas ("experiência com Splunk SIEM", "conhecimento em FortiGaté e Palo Alto"). Perfis do LinkedIn de funcionários de TI revelam certificações e ferramentas utilizadas. Essa inteligência de fonte aberta (OSINT) é gratuita, não deixa rastros e fornece um mapa preciso do stack tecnológico da organização. **Phishing direcionado com rastreamento de software:** Campanhas de [[t1598-phishing-for-information|phishing para coleta de informações]] podem incluir documentos com macros ou links que, ao serem abertos, enviam informações sobre o software do cliente para servidores do atacante. Essa técnica é usada por grupos como [[g0059-magic-hound|Magic Hound]] que enviam documentos PDF com conteúdo relevante ao alvo (assuntos geopolíticos, contratos) que, ao abrir, executam scripts JavaScript embutidos que coletam informações do software. **Análise de repositórios públicos de código:** Código públicado no GitHub, GitLab ou Bitbucket frequentemente revela dependências de software através de arquivos `package.json`, `requirements.txt`, `pom.xml` e `Dockerfile`. Esses arquivos mapeiam versões específicas de bibliotecas e frameworks usados, que podem conter vulnerabilidades conhecidas. Essa coleta se conecta diretamente com [[t1593-003-code-repositories|T1593.003 - Code Repositories]]. ## Attack Flow ```mermaid graph TB A["Adversário seleciona organização-alvo"] --> B["Coleta passiva de informações de software"] B --> C1["OSINT: Metadados de documentos públicos (FOCA, exiftool)"] B --> C2["Shodan/Censys: Banners de serviços expostos"] B --> C3["LinkedIn/Vagas: Stack tecnológico da TI"] B --> C4["GitHub: Dependências em arquivos de projeto"] C1 --> D["Inventário de software: versões e configurações"] C2 --> D C3 --> D C4 --> D D --> E["Cruzamento com CVEs conhecidos (NVD, CISA KEV)"] E --> F1["Identifica versão vulnerável de VPN/Firewall"] E --> F2["Identifica ausência de EDR/solução de segurança"] E --> F3["Identifica software legado sem suporte"] F1 --> G["Desenvolvimento ou aquisição de exploit: T1587 / T1588"] F2 --> G F3 --> G G --> H["Acesso inicial via vulnerabilidade mapeada"] H --> I["Impacto: espionagem, ransomware, sabotagem"] ``` ## Exemplos de Uso **Magic Hound / APT35 (Charming Kitten) - Campanhas contra pesquisadores e jornalistas:** O grupo iraniano [[g0059-magic-hound|Magic Hound]], também conhecido como APT35 ou Charming Kitten, conduz extensas operações de reconhecimento de software antes de campanhas de spear-phishing. O grupo coleta informações sobre clientes de e-mail (Outlook, Gmail, Thunderbird), sistemas operacionais e versões de navegador para customizar os vetores de entrega de malware. Em campanhas documentadas contra pesquisadores de segurança nuclear e jornalistas do Oriente Médio, o grupo utilizou phishing elaborado com formulários falsos de Google que coletavam silenciosamente dados de software do visitante antes de apresentar a página de captura de credenciais. **Sandworm Team - Campanhas de sabotagem de infraestrutura crítica:** O [[g0034-sandworm|Sandworm Team]], atribuído ao GRU russo (unidade 74455), realizou reconhecimento meticuloso de software em concessionárias de energia elétrica ucranianas antes dos ataques que causaram apagões em 2015 e 2016. A identificação de sistemas SCADA rodando software específico (GE CIMPLICITY, Advantech/Broadwin WebAccess) permitiu ao grupo desenvolver os plugins modulares do malware BlackEnergy e Industroyer específicamente para aqueles ambientes. A fase de reconhecimento durou meses antes da execução do ataque. **Andariel (Lazarus subgroup) - Reconhecimento financeiro no Brasil:** O subgrupo [[g0138-andariel|Andariel]], vinculado ao [[g0032-lazarus-group|Lazarus Group]] norte-coreano, é conhecido por realizar reconhecimento de software em instituições financeiras antes de operações de roubo. O grupo identifica sistemas de pagamento, softwares de internet banking corporativo e plataformas de câmbio em uso. Há evidências de campanhas de reconhecimento contra bancos brasileiros para identificação de versões de sistemas SWIFT e plataformas de transferência interbancária. **Grupos de ransomware contra hospitais brasileiros (2024-2025):** Operadores de ransomware como [[lockbit|LockBit]] e [[black-basta|Black Basta]] documentaram em seus playbooks internos a etapa de reconhecimento de software como obrigatória. Antes de deployer ransomware, o grupo identifica se o alvo usa backup software vulnerável (Veeam, Commvault), versões de Windows Server exploráveis e presença/ausência de EDR. Hospitais brasileiros foram alvos frequentes por frequentemente usarem sistemas legados sem suporte (Windows Server 2008, Windows 7 em equipamentos médicos). ## Detecção ```yaml title: Acesso Massivo a Metadados de Documentos Públicos (FOCA-like) status: experimental logsource: category: webserver product: apache detection: selection_bulk_document_access: cs-uri-stem|contains: - '.pdf' - '.docx' - '.xlsx' - '.pptx' cs-method: 'GET' timeframe: 5m condition: selection_bulk_document_access | count() by c-ip > 20 level: medium tags: - attack.reconnaissance - attack.t1592.002 ``` ```yaml title: Varredura de Banners de Software via User-Agent de Ferramenta de OSINT status: experimental logsource: category: webserver product: nginx detection: selection_osint_tools: http_user_agent|contains: - 'Shodan' - 'Censys' - 'ZoomEye' - 'FOCA' - 'Maltego' - 'masscan' - 'nmap' - 'zgrab' condition: selection_osint_tools level: high tags: - attack.reconnaissance - attack.t1592.002 ``` ```yaml title: Enumeração de Versão de Software via Cabeçalhos HTTP Personalizados status: experimental logsource: category: proxy product: web-proxy detection: selection_version_probing: cs-method: 'GET' cs-uri-stem|contains: - '/version' - '/api/version' - '/_version' - '/server-status' - '/server-info' - '/.well-known/security.txt' sc-status: - 200 condition: selection_version_probing level: low tags: - attack.reconnaissance - attack.t1592.002 ``` > [!warning] Visibilidade Limitada > A maior parte da atividade de T1592.002 ocorre fora do perímetro da organização - adversários consultam Shodan, FOCA e repositórios públicos sem nunca interagir com os sistemas internos. Monitorar essa atividade requer controles de DLP para documentos públicos e alertas de exposure management para serviços expostos com versões identificáveis. ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | Reduzir informações de software disponíveis públicamente. Inclui remover banners de versão de servidores web, sanitizar metadados de documentos antes da públicação e revisar informações expostas em vagas de emprego e redes sociais. | > [!tip] Controles Adicionais Recomendados > - **Suprimir banners de versão em serviços expostos**: Configurar Apache, Nginx, IIS e outros servidores para não retornar informações de versão nos headers HTTP (`ServerTokens Prod` no Apache, `server_tokens off` no Nginx). > - **Remover metadados de documentos antes da públicação**: Implementar processo obrigatório de sanitização (ex: Microsoft Office "Inspecionar Documento", `mat2` para Linux) para todos os documentos públicados externamente. > - **Attack Surface Management (ASM)**: Usar ferramentas de gerenciamento de superfície de ataque externo (ex: Shodan Monitor, Censys ASM, Microsoft Defender EASM) para identificar proativamente quais informações de software estão visíveis externamente. > - **Política de divulgação mínima em vagas de emprego**: Evitar listar versões específicas de ferramentas em descrições de vagas; usar termos genéricos ("soluções SIEM" em vez de "Splunk 8.x"). > - **Programa de patch management visível externamente**: Garantir que serviços expostos à Internet sejam os primeiros a receber patches, eliminando versões vulneráveis antes que adversários as identifiquem. ## Contexto Brasil/LATAM O Brasil apresenta um cenário particularmente favorável para adversários que utilizam T1592.002 por razões estruturais e regulatórias específicas: **Alta prevalência de software legado:** Levantamentos do setor indicam que uma parcela significativa de empresas brasileiras de médio porte ainda opera com versões desatualizadas de Windows Server, Office e sistemas ERP. O alto custo de licenciamento de software no Brasil (agravado por taxações de importação e variação cambial) cria barreiras econômicas para atualização, resultando em ambientes com versões vulneráveis facilmente identificáveis via OSINT. **Exposição de informações em licitações públicas:** Órgãos governamentais brasileiros são obrigados a públicar editais de licitação detalhados que frequentemente incluem específicações técnicas completas dos sistemas em uso, incluindo versões de software, fornecedores e integradores. Essas informações são públicas, indexadas e constituem um inventário pronto de softwares para qualquer adversário interessado em órgãos governamentais. **Setor financeiro como alvo prioritário:** O [[g0059-magic-hound|Magic Hound]] e grupos de cibercrime financeiro mapeiam sistematicamente o software utilizado por bancos e fintechs brasileiras através de análise de job postings, LinkedIn e eventos de tecnologia (FEBRABAN Tech, CIAB). Sistemas como Totvs Protheus, TOTVS RM, sistemas de core banking nacionais e plataformas PIX são alvos de reconhecimento constante. A combinação de alta digitalização (o Brasil é um dos países com maior adoção de internet banking e pagamentos digitais do mundo) com maturidade de segurança desigual entre os setores cria uma superfície de ataque ampla e bem mapeável por adversários que utilizam T1592.002 efetivamente. ## Referências - **Técnica pai:** [[t1592-gather-victim-host-information|T1592 - Gather Victim Host Information]] - **Subtécnicas relacionadas:** [[t1592-001-hardware|T1592.001 - Hardware]], [[t1592-003-firmware|T1592.003 - Firmware]], [[t1592-004-client-configurations|T1592.004 - Client Configurations]] - **Técnicas complementares:** [[t1595-active-scanning|T1595 - Active Scanning]], [[t1593-003-code-repositories|T1593.003 - Code Repositories]], [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - **Capacidades habilitadas:** [[t1587-develop-capabilities|T1587 - Develop Capabilities]], [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] - **Vetores de acesso inicial relacionados:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], [[t1133-external-remote-services|T1133 - External Remote Services]], [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] - **Grupos que utilizam:** [[g0059-magic-hound|Magic Hound]], [[g0034-sandworm|Sandworm Team]], [[g0138-andariel|Andariel]], [[g0032-lazarus-group|Lazarus Group]] - **Mitigação:** [[m1056-pre-compromise|M1056 - Pre-compromise]] --- *Fonte: [MITRE ATT&CK - T1592.002](https://attack.mitre.org/techniques/T1592/002)*