# T1593 - Search Open Websites/Domains ## Descrição A técnica T1593 descreve como adversários pesquisam websites e domínios de acesso livre para coletar informações sobre organizações-alvo que possam ser utilizadas durante o planejamento e execução de ataques. Esta é uma das técnicas de reconhecimento mais amplamente utilizadas por grupos de ameaça avançada, desde APTs patrocinados por estados-nação até grupos de ransomware criminosos, porque aproveita a vasta quantidade de informação que as próprias organizações - e seus funcionários - públicam voluntariamente na internet. O escopo desta técnica é amplo e abrange fontes diversas: sites corporativos, portais de empregos (LinkedIn, Catho, Indeed, Glassdoor), redes sociais (LinkedIn, Twitter/X, Facebook, Instagram), repositórios de código (GitHub, GitLab, Bitbucket), fóruns técnicos (Stack Overflow, Reddit), plataformas de compartilhamento de documentos (SlideShare, Scribd), portais de transparência governamental e bases de dados de registros corporativos (Receita Federal, Junta Comercial). No contexto brasileiro, o CNPJ, dados do Banco Central e informações de contratos públicos disponíveis no Portal da Transparência Federal constituem fontes ricas para reconhecimento de alvos do setor público e empresas contratadas pelo governo. Seis grupos de ameaça avançada são documentados pelo MITRE ATT&CK como usuários desta técnica: [[g0129-mustang-panda|Mustang Panda]] (China), [[g1017-volt-typhoon|Volt Typhoon]] (China), [[g1052-contagious-interview|Contagious Interview]] (Coreia do Norte/Lazarus), [[g0094-kimsuky|Kimsuky]] (Coreia do Norte), [[g0034-sandworm|Sandworm Team]] (Rússia/GRU) e [[g1033-star-blizzard|Star Blizzard]] (Rússia/FSB). A diversidade de atores utilizando esta técnica reflete sua eficácia e baixo custo operacional - requer apenas acesso à internet e habilidades analíticas básicas para extrair inteligência acionável de fontes abertas. ## Como Funciona A execução prática desta técnica ocorre através de três sub-técnicas principais e múltiplos vetores complementares: **Sub-técnica T1593.001 - Social Media:** Perfis corporativos e individuais em plataformas como LinkedIn, Twitter/X e Facebook são minas de informação. Adversários extraem: organogrmas informais (quem reporta a quem), tecnologias em uso (mencionadas em perfis de TI), eventos corporativos e datas relevantes, nomes de funcionários e funções específicas (administradores de rede, desenvolvedores sênior, CFOs), e relacionamentos de negócios com parceiros e fornecedores. O [[g0094-kimsuky|Kimsuky]] é particularmente conhecido por criar personas falsas no LinkedIn para se aproximar de alvos de interesse. **Sub-técnica T1593.002 - Search Engines:** O uso avançado de operadores de busca - técnica conhecida como "Google Dorking" - permite localizar documentos sensíveis, arquivos de configuração, credenciais e informações internas inadvertidamente indexadas. Exemplos: `site:empresa.com.br filetype:pdf "confidencial"`, `site:github.com "senha" "empresa.com.br"`, `inurl:admin site:empresa.com.br`. O Sandworm Team utilizou search engines para identificar infraestrutura crítica ucraniana antes de ataques durante o conflito russo-ucraniano. **Sub-técnica T1593.003 - Code Repositories:** Repositórios GitHub, GitLab e Bitbucket frequentemente contêm credenciais hardcoded, chaves de API, tokens de acesso, configurações de infraestrutura (arquivos Terraform, Ansible, Docker Compose), e código-fonte de sistemas internos. Ferramentas como `truffleHog`, `gitleaks` e `git-secrets` são usadas por adversários (e defensores) para varredura automatizada de segredos expostos em repositórios. **Vetores complementares:** - **Job postings**: Vagas descrevem detalhadamente a stack tecnológica em uso, revelando firewalls, SIEMs, EDRs e outras soluções de segurança implantadas - **Certificações e contratos públicos**: No Brasil, portais de transparência e o Comprasnet expõem contratos de TI do governo, revelando fornecedores de segurança e infraestrutura de órgãos públicos - **Documentação técnica pública**: Whitepapers, apresentações em conferências (incluindo BSidesSP, H2HC, Mind The Sec) e artigos técnicos podem revelar arquiteturas de rede e decisões de design - **Websites corporativos**: Páginas "Sobre Nós", listas de parceiros tecnológicos, selos de certificação (ISO 27001, PCI DSS, SOC 2) e comúnicados de imprensa revelam contexto organizacional valioso ## Attack Flow ```mermaid graph TB A["Adversário identifica organização-alvo"] --> B["Reconhecimento em redes sociais<br/>T1593 001 Social Media"] A --> C["Google Dorking<br/>T1593 002 Search Engines"] A --> D["Varredura de repositórios<br/>T1593 003 Code Repositories"] A --> E["OSINT corporativo<br/>CNPJ / contratos públicos"] B --> F["Identifica funcionários-chave<br/>e tecnologias em uso"] C --> G["Localiza documentos sensíveis<br/>e configurações expostas"] D --> H["Extrai credenciais<br/>e chaves de API expostas"] E --> I["Mapeia fornecedores<br/>e parceiros de confiança"] F --> J["Constrói perfil de alvo<br/>para engenharia social"] G --> J H --> K["Acesso direto via<br/>credenciais vazadas"] I --> L["Ataque à cadeia<br/>de suprimentos"] J --> M["T1566 Phishing direcionado<br/>ou T1598 Phishing For Information"] K --> N["Comprometimento inicial"] L --> N M --> N ``` ## Exemplos de Uso **Kimsuky - Reconhecimento de think tanks e governo (2023-2024):** O grupo norte-coreano [[g0094-kimsuky|Kimsuky]] utiliza extensivamente pesquisa em sites abertos para mapear alvos em think tanks de política, universidades e agências governamentais. Relatórios da CISA, FBI e NSA de 2023 descrevem como o grupo pesquisa públicações acadêmicas, perfis do LinkedIn e sites institucionais para identificar pesquisadores e funcionários de interesse, construindo contexto para campanhas de spear-phishing altamente personalizadas que se passam por colegas ou jornalistas. **Star Blizzard - Campanha contra jornalistas e ONGs (2023-2024):** O grupo russo [[g1033-star-blizzard|Star Blizzard]] (anteriormente SEABORGIUM/Callisto Group), vinculado ao FSB, usa pesquisa em redes sociais e sites abertos para identificar jornalistas, organizações não-governamentais e pesquisadores que cobrem temas sensíveis à Rússia. A Microsoft e o NCSC (UK) documentaram como o grupo cria perfis falsos no LinkedIn que espelham contatos reais da rede do alvo, tornando os ataques de phishing subsequentes altamente convincentes. **Contagious Interview - Recrutadores falsos no LinkedIn (2023-2024):** O cluster [[g1052-contagious-interview|Contagious Interview]], associado ao grupo Lazarus da Coreia do Norte, usa pesquisa intensiva no LinkedIn para identificar desenvolvedores de software e profissionais de criptomoedas. O grupo pesquisa histórico profissional, projetos recentes e interesses dos alvos para criar abordagens de recrutamento falsas extremamente personalizadas, eventualmente entregando malware disfarçado de teste técnico ou ferramenta de videoconferência. **Mustang Panda - Espionagem contra governo e ONGs (2022-2024):** O grupo chinês [[g0129-mustang-panda|Mustang Panda]] utiliza pesquisa em websites de governo, ONGs e organizações religiosas para identificar alvos e construir pretextos convincentes para campanhas de phishing com documentos maliciosos temáticos. O grupo é conhecido por pesquisar notícias recentes relacionadas ao alvo para criar iscas relevantes ao contexto atual do alvo. **Sandworm Team - Reconhecimento de infraestrutura crítica ucraniana:** O grupo russo [[g0034-sandworm|Sandworm Team]] (GRU, Unidade 74455) utilizou pesquisa em sites abertos para mapear fornecedores de energia elétrica, empresas de telecomúnicações e operadores de infraestrutura crítica na Ucrânia antes de ataques destrutivos. Documentação pública de contratos governamentais, licitações e parcerias tecnológicas forneceu o mapa de infraestrutura crítica necessário para planejamento dos ataques. **Grupos de ransomware - Reconhecimento de tamanho e capacidade financeira:** Grupos como [[lockbit|LockBit]] e operadores de ransomware brasileiros pesquisam receita anual de empresas (via portais como Receita Federal, Valor Econômico e rankings como "Maiores e Melhores" da Exame) para estimar a capacidade de pagamento do resgate e dimensionar a demanda extorsiva adequadamente. ## Detecção A detecção desta técnica pelo defensor é inerentemente limitada, pois ocorre em plataformas externas à organização. A estratégia defensiva mais eficaz combina redução de superfície de exposição (menos informação disponível) com monitoramento de uso de informações vazadas. ```yaml title: Detecção de GitHub Secret Scanning - Credenciais Corporativas Expostas status: stable logsource: category: application product: github detection: selection_secret_scan_alert: event_type: "secret_scanning_alert" secret_type|contains: - "aws_access_key_id" - "github_personal_access_token" - "generic_api_key" - "password" repository_visibility: "public" condition: selection_secret_scan_alert level: high tags: - attack.reconnaissance - attack.t1593 - attack.t1593.003 ``` Estrategias de detecção e monitoramento: - **GitHub Secret Scanning e push protection**: Habilitar nativamente no GitHub/GitLab para bloquear commits com credenciais e alertar sobre segredos em repositórios públicos - **Monitoramento de menções online**: Ferramentas como Google Alerts, Mention.com e plataformas de Digital Risk Protection (DRP) para detectar quando o nome da organização aparece em contextos suspeitos (fóruns de hacking, dark web, pastes) - **Employee awareness training**: Treinar funcionários sobre riscos de oversharing em redes sociais e públicações profissionais - a defesa humana é crítica para esta técnica - **Revisão de perfis corporativos**: Auditar periodicamente informações públicas da organização no LinkedIn, site corporativo e outros canais para identificar exposições involuntárias - **Monitoramento de job postings**: Revisar vagas de emprego antes de públicar para remover detalhes excessivos sobre a stack tecnológica de segurança ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1047-audit\|M1047]] | Audit | Realizar auditorias periódicas da pegada digital da organização em fontes abertas para identificar informações excessivamente expostas. Inclui revisão de repositórios de código, redes sociais corporativas, documentos públicos e job postings. | | [[m1013-application-developer-guidance\|M1013]] | Application Developer Guidance | Orientar desenvolvedores sobre boas práticas para evitar vazamento de segredos (credenciais, chaves de API, tokens) em repositórios de código. Implementar ferramentas de pré-commit (gitleaks, git-secrets) e revisão de código com foco em segurança. | **Medidas práticas complementares:** - **Política de públicação em repositórios**: Implementar policy que proíbe commit de credenciais, informações de infraestrutura interna e dados sensíveis em repositórios - públicos ou privados. Usar variáveis de ambiente e secret managers (HashiCorp Vault, AWS Secrets Manager). - **Treinamento de conscientização sobre OPSEC**: Educar todos os funcionários - especialmente TI, desenvolvedores e lideranças - sobre os riscos de públicar informações sobre tecnologias internas, fornecedores de segurança e arquitetura de rede em redes sociais e apresentações públicas. - **LinkedIn corporativo controlado**: Definir política sobre o que funcionários podem públicar sobre sua função e tecnologias utilizadas. Perfis excessivamente detalhados de administradores de sistemas e analistas de segurança são alvos primários de reconhecimento. - **Revisão de documentos públicos**: Antes de públicar whitepapers, apresentações, contratos (quando obrigatório por lei) e comúnicados de imprensa, revisar se contêm informações que poderiam ser exploradas por adversários. - **Digital Risk Protection (DRP)**: Considerar soluções de monitoramento contínuo de dark web, paste sites e fontes abertas para detectar menções da organização, vazamento de credenciais e discussões sobre possíveis alvos. ## Contexto Brasil/LATAM O Brasil apresenta um contexto particularmente rico para esta técnica devido à combinação de alta transparência governamental obrigatória, cultura de compartilhamento profissional em redes sociais e maturidade variável de OPSEC organizacional. **Portal da Transparência e dados governamentais**: A Lei de Acesso à Informação (LAI) e o Portal da Transparência Federal tornam públicos detalhes extensos de contratos de TI do governo federal, estadual e municipal - incluindo fornecedores de segurança, valores de contratos e específicações técnicas de soluções adquiridas. Um adversário interessado em comprometer um ministério ou autarquia pode pesquisar esses portais para identificar qual SIEM, firewall ou solução de EDR está em uso, e então buscar CVEs específicos para aquelas versões. Isso é de conhecimento público e representa um vetor exclusivo ao contexto regulatório brasileiro. **LinkedIn brasileiro**: O Brasil está entre os países com maior penetração do LinkedIn na América Latina, com profissionais frequentemente detalhando tecnologias em uso em seus perfis. O [[g0094-kimsuky|Kimsuky]] e grupos similares têm expandido operações para alvos brasileiros no setor de defesa, energia nuclear e pesquisa avançada, onde funcionários com perfis detalhados no LinkedIn são alvos preferências. **Repositórios GitHub de empresas e governo**: Pesquisas regulares do CERT.br e de pesquisadores de segurança brasileiros identificam recorrentemente credenciais de sistemas governamentais e corporativos expostas em repositórios GitHub públicos - frequentemente por desenvolvedores que pusharam código de teste sem remover configurações de produção. **Setor financeiro e fintechs**: O ecossistema fintech brasileiro, um dos mais ativos do mundo, é alvo de reconhecimento intenso. A cultura de transparência e marketing técnico das fintechs - que públicam extensivamente sobre sua stack tecnológica como diferencial competitivo - inadvertidamente fornece mapas detalhados de infraestrutura para adversários como grupos vinculados ao [[g0032-lazarus-group|Lazarus Group]] que visam exchanges de criptomoedas e instituições financeiras da região. **Conferências de segurança brasileiras**: Apresentações técnicas em BSidesSP, H2HC (Hackers to Hackers Conference) e Mind The Sec frequentemente incluem detalhes sobre arquiteturas de segurança, casos de resposta a incidentes e tecnologias em uso em organizações brasileiras - informações que podem ser compiladas por adversários para construir inteligência sobre alvos potenciais. ## Sub-técnicas - [[t1593-001-social-media|T1593.001 - Social Media]] - [[t1593-002-search-engines|T1593.002 - Search Engines]] - [[t1593-003-code-repositories|T1593.003 - Code Repositories]] ## Referências **Técnicas relacionadas:** - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]] - [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]] - [[t1585-establish-accounts|T1585 - Establish Accounts]] - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] - [[t1566-phishing|T1566 - Phishing]] - [[t1133-external-remote-services|T1133 - External Remote Services]] **Threat Actors documentados:** - [[g0129-mustang-panda|Mustang Panda]] - espionagem contra ONGs e governo - [[g1017-volt-typhoon|Volt Typhoon]] - reconhecimento de infraestrutura crítica - [[g1052-contagious-interview|Contagious Interview]] - recrutadores falsos no LinkedIn - [[g0094-kimsuky|Kimsuky]] - reconhecimento de think tanks e governo - [[g0034-sandworm|Sandworm Team]] - infraestrutura crítica ucraniana - [[g1033-star-blizzard|Star Blizzard]] - jornalistas, ONGs e pesquisadores **Mitigações:** - [[m1047-audit|M1047 - Audit]] - [[m1013-application-developer-guidance|M1013 - Application Developer Guidance]] --- *Fonte: [MITRE ATT&CK - T1593](https://attack.mitre.org/techniques/T1593)*