t1592-gather-victim-host-information

# T1592 - Gather Victim Host Information > [!info] Técnica MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1592 · **Plataforma:** PRE · **Versão:** 16.2 ## Descrição A técnica **T1592 - Gather Victim Host Information** descreve o comportamento de adversários que coletam informações detalhadas sobre os hosts de uma organização-alvo antes de iniciar uma intrusão. Essa fase de reconhecimento é fundamental na construção de um perfil técnico da vítima, permitindo que o agente de ameaça planeje ataques altamente direcionados e adaptados ao ambiente específico. As informações coletadas sobre hosts abrangem uma variedade de categorias: dados administrativos como nomes de máquinas, endereços IP atribuídos, funções organizacionais e responsáveis técnicos; específicações de configuração como sistema operacional, arquitetura de CPU, idioma configurado e patches aplicados; detalhes de hardware como fabricante, modelo e componentes; e informações de firmware que revelam versões de BIOS/UEFI e outros componentes de baixo nível. O adversário pode reunir essas informações por meio de diversas abordagens. A coleta direta inclui técnicas como [[t1595-active-scanning|Varredura Ativa]] contra endereços IP públicos da organização e [[t1598-phishing-for-information|Phishing para Informações]] onde o alvo é induzido a revelar dados do ambiente. A coleta passiva acontece via análise de cabeçalhos HTTP User-Agent quando usuários visitam sites controlados pelo atacante, ou através de conteúdo malicioso injetado em sites legítimos comprometidos. Fontes abertas como [[t1593-001-social-media|Redes Sociais]], [[t1594-search-victim-owned-websites|Sites de Propriedade da Vítima]], ofertas de emprego públicas, fóruns técnicos e até relatórios de auditoria vazados também expõem informações valiosas sobre a infraestrutura de hosts. Uma técnica particularmente eficaz é a análise de cabeçalhos **User-Agent** em servidores web controlados pelo atacante. Quando usuários da organização-alvo acessam esses recursos (sejá por phishing, redirecionamentos ou watering hole), o servidor recebe automaticamente informações sobre o sistema operacional, navegador, versão e arquitetura do cliente. Isso permite ao adversário construir um mapeamento detalhado dos endpoints e personalizar payloads - por exemplo, servindo malware apenas para sistemas Windows 10 específicos enquanto ignora outros sistemas operacionais para evitar detecção. Essa técnica é um precursor crítico para [[Domínios Abertos]], [[t1596-search-open-technical-databases|Busca em Bases Técnicas Abertas]], [[t1587-develop-capabilities|Desenvolvimento de Capacidades]] e [[t1588-obtain-capabilities|Obtenção de Capacidades]], além de abrir caminho para [[t1195-supply-chain-compromise|Comprometimento de Cadeia de Suprimentos]] e [[t1133-external-remote-services|Serviços Remotos Externos]]. ## Como Funciona O processo de coleta de informações sobre hosts segue diferentes vetores dependendo dos recursos e objetivos do adversário: **1. Reconhecimento Passivo via OSINT** O atacante pesquisa informações públicamente disponíveis: análise de certificados SSL/TLS (que podem revelar versões de software de servidor), cabeçalhos de resposta HTTP, metadados de documentos públicados (EXIF/propriedades de Office podem conter versão do sistema operacional), ofertas de emprego que listam tecnologias utilizadas e perfis de profissionais de TI no LinkedIn. **2. Varredura Ativa Direcionada** Usando ferramentas como Nmap, Masscan ou Shodan, o adversário mapeia portas abertas, identifica versões de serviços (banner grabbing), detecta sistemas operacionais via fingerprinting TCP/IP e descobre dispositivos de rede expostos com suas versões de firmware. **3. Watering Hole e Conteúdo Malicioso** O adversário compromete sites frequentados por funcionários da organização-alvo e injeta JavaScript que coleta informações do navegador: User-Agent, resolução de tela, plugins instalados, fusos horários, idioma do sistema e características de hardware. Essas informações são exfiltradas silenciosamente via requisições HTTP para servidores controlados pelo atacante. **4. Phishing para Coleta de Informações** Emails de spearphishing direcionados incluem pixels de rastreamento ou links que, ao serem acessados, coletam o User-Agent da vítima. Formulários falsos solicitam que o alvo informe detalhes técnicos do sistema ou credenciais de acesso. **5. Análise de User-Agents** Servidores de staging controlados pelo adversário registram todos os User-Agents dos visitantes. Isso permite construir um perfil dos sistemas operacionais e navegadores predominantes na organização antes de lançar ataques mais sofisticados adaptados ao ambiente detectado. ## Attack Flow ```mermaid graph TB A[Identificação do Alvo Organizacional] --> B[Coleta Passiva OSINT] A --> C[Varredura Ativa de Hosts] B --> D[Análise de Documentos e Metadados] B --> E[Monitoramento de User-Agents] C --> F[Banner Grabbing e Fingerprinting] D --> G[Perfil Técnico do Host] E --> G F --> G G --> H{Tipo de Informação} H --> I[Sistema Operacional e Versão] H --> J[Hardware e Firmware] H --> K[Configurações de Cliente] H --> L[Software Instalado] I --> M[Seleção de Exploit Adequado] J --> N[Desenvolvimento de Implante Customizado] K --> O[Bypass de Controles de Segurança] L --> P[Identificação de Vulnerabilidades] M --> Q[Ataque Direcionado] N --> Q O --> Q P --> Q ``` ## Sub-técnicas - [[t1592-001-hardware|T1592.001 - Hardware]] - [[t1592-002-software|T1592.002 - Software]] - [[t1592-003-firmware|T1592.003 - Firmware]] - [[t1592-004-client-configurations|T1592.004 - Client Configurations]] ## Exemplos de Uso **Volt Typhoon - Reconhecimento de Infraestrutura Crítica** O grupo [[g1017-volt-typhoon|Volt Typhoon]], atribuído à China e com foco em infraestrutura crítica dos EUA e LATAM, utiliza reconhecimento extensivo de hosts para identificar dispositivos de rede (roteadores, firewalls, VPNs) expostos antes de explorar vulnerabilidades específicas de firmware. O grupo é conhecido por coletar informações sobre versões de firmware de equipamentos da Cisco, Netgear e ASUS para selecionar exploits adequados. **APTs na Fase de Pré-Acesso** Grupos como [[g0016-apt29|APT29]] e [[g0096-apt41|APT41]] realizam reconhecimento de hosts através de watering holes em conferências de segurança e sites governamentais, coletando User-Agents de visitantes para mapear o ambiente tecnológico antes de lançar campanhas de phishing altamente personalizadas. **Campanhas de Ransomware** Operadores de ransomware como [[lockbit|LockBit]] e grupos afiliados utilizam scanners automatizados (Shodan, Censys) para identificar hosts com serviços expostos e versões vulneráveis de software antes de iniciar campanhas de acesso inicial via exploração de vulnerabilidades. ## Detecção > [!warning] Detecção Difícil > Esta técnica opera majoritariamente fora do perímetro da organização. A detecção direta é limitada - o foco deve ser em detectar o uso das informações coletadas em etapas posteriores. **Estrategias de Detecção:** - Monitorar logs de servidores web externos para padrões de User-Agent incomuns ou acesso massivo a recursos de rastreamento - Implementar honeytokens: documentos com metadados falsos públicados em canais públicos para detectar coleta de OSINT - Monitorar Shodan/Censys para exposição de assets organizacionais - Analisar logs de DNS para resolução de nomes internos a partir de fontes externas - Implementar alertas em SIEM para varreduras de portas contra ativos externos ```yaml title: Detecção de User-Agent Scanning Anômalo status: experimental logsource: category: webserver product: nginx detection: selection_scanning: cs-uri-stem|contains: - '/admin' - '/api' - '/.env' cs(User-Agent)|re: '(python-requests|curl|Nmap|masscan|zgrab|nuclei)' selection_recon: sc-status: 200 cs-bytes|lt: 100 condition: selection_scanning and selection_recon level: medium tags: - attack.reconnaissance - attack.t1592 falsepositives: - Scanners de segurança internos legítimos - Ferramentas de monitoramento de disponibilidade ``` ```yaml title: Acesso a Recursos de Rastreamento (Pixel/Beacon) status: experimental logsource: category: proxy product: bluecoat detection: selection: cs-uri-stem|endswith: - '/track' - '/pixel.gif' - '/beacon' - '/open' cs-bytes: 0 sc-bytes|lt: 100 condition: selection level: low tags: - attack.reconnaissance - attack.t1592 falsepositives: - Pixels de rastreamento de e-mail marketing legítimo - Analytics de terceiros (Google Analytics, etc.) ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | Esta técnica ocorre antes do comprometimento inicial. Mitigações de pré-acesso incluem reduzir a exposição de informações técnicas em canais públicos, remover metadados de documentos antes de públicação e auditar o que está exposto via Shodan/Censys. | **Controles Adicionais Recomendados:** - **Minimização de Exposição**: Remover informações de versão de software de cabeçalhos HTTP de servidores públicos (Server, X-Powered-By, X-AspNet-Version) - **Sanitização de Metadados**: Usar ferramentas como ExifTool para remover metadados de documentos antes de públicação - **Gestão de Superfície de Ataque**: Auditar regularmente assets expostos com Shodan, Censys e FOFA - **Honeytokens**: Publicar documentos com metadados falsos para detectar coleta de OSINT - **Política de Exposição de Vagas**: Evitar detalhar o stack tecnológico exato em ofertas de emprego públicas ## Contexto Brasil/LATAM O Brasil e o restante da América Latina enfrentam reconhecimento sistemático de hosts por múltiplos vetores: **Setor Financeiro**: Bancos brasileiros são alvo frequente de reconhecimento preliminar por grupos como [[g0008-carbanak|Carbanak]] e gangues locais de fraude bancária. A exposição de versões de middleware bancário (IBM MQ, WebSphere) em servidores voltados à internet é um vetor comum de coleta de informações. **Infraestrutura Crítica**: Empresas do setor de energia, como subsidiárias da Petrobras e distribuidoras elétricas, têm dispositivos ICS/SCADA com firmware exposto identificável via Shodan. Adversários interessados em infraestrutura crítica latinoamericana utilizam essa inteligência para preparar ataques direcionados. **Governo**: Sistemas governamentais brasileiros frequentemente expõem versões de software desatualizadas via banners HTTP, facilitando o reconhecimento passivo por grupos como [[g0096-apt41|APT41]] que têm histórico de interesse em governo LATAM. **Setor de Telecomúnicações**: Operadoras de telecom no Brasil têm grandes parques de equipamentos de rede com firmwares identificáveis públicamente. O [[g1017-volt-typhoon|Volt Typhoon]] tem interesse documentado em infraestrutura de telecomúnicações da América do Norte e há indicações de expansão de interesse para LATAM. **Recomendações para Organizações Brasileiras:** - Realizar auditorias regulares de exposição de assets via CERT.br e ferramentas próprias - Participar da comunidade do [[sources|CERT.br]] para receber alertas sobre reconhecimento em andamento - Implementar políticas de divulgação mínima de versões em todos os sistemas externos - Monitorar menções a ativos organizacionais em fóruns de inteligência de ameaças ## Referências - [MITRE ATT&CK - T1592](https://attack.mitre.org/techniques/T1592) - [MITRE ATT&CK - T1592.001 Hardware](https://attack.mitre.org/techniques/T1592/001) - [MITRE ATT&CK - T1592.003 Firmware](https://attack.mitre.org/techniques/T1592/003) - [Volt Typhoon CISA Advisory (2023)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a) - [NIST SP 800-115 - Technical Guide to Information Security Testing](https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf) - [Shodan - Internet-Connected Devices Search](https://www.shodan.io/) - [CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes](https://www.cert.br/) --- *Fonte: [MITRE ATT&CK - T1592](https://attack.mitre.org/techniques/T1592) · Versão 16.2*