# T1594 - Search Victim-Owned Websites ## Descrição Adversários realizam buscas sistemáticas em **websites de propriedade da vítima** para coletar informações que serão utilizadas na fase de targeting. Esta técnica de reconhecimento passivo é amplamente utilizada antes de ataques direcionados, pois os próprios sites da organização frequentemente expõem detalhes valiosos sem que a vítima tenha consciência disso. Os sites corporativos costumam conter uma variedade de informações exploráveis: nomes de departamentos e divisões, localizações físicas de escritórios e filiais, dados sobre funcionários-chave (nomes, cargos, endereços de e-mail - ver [[t1589-002-email-addresses|T1589.002 - Email Addresses]]), detalhes de tecnologias utilizadas, parceiros comerciais, comúnicados de imprensa e informações sobre operações em andamento. Além da navegação manual, adversários frequentemente automatizam a enumeração do site-alvo para descobrir diretórios e arquivos ocultos que possam conter informações adicionais ou funcionalidades vulneráveis. Para isso, utilizam ferramentas como dirbuster, gobuster e técnicas de [[t1595-003-wordlist-scanning|Wordlist Scanning (T1595.003)]]. Arquivos públicos como `sitemap.xml` e `robots.txt` também são explorados para mapear a estrutura interna do site e identificar caminhos não indexados. As informações obtidas nesta fase revelam oportunidades para outras formas de reconhecimento, como [[t1598-phishing-for-information|Phishing for Information (T1598)]] e [[t1596-search-open-technical-databases|Search Open Technical Databases (T1596)]], além de subsidiar o estabelecimento de recursos operacionais via [[t1585-establish-accounts|Establish Accounts (T1585)]] ou [[t1586-compromise-accounts|Compromise Accounts (T1586)]] e o acesso inicial por meio de [[t1199-trusted-relationship|Trusted Relationship (T1199)]] ou [[t1566-phishing|Phishing (T1566)]]. > **Tática MITRE ATT&CK:** Reconnaissance | **ID:** T1594 | **Versão:** 16.2 --- ## Como Funciona A técnica funciona em três etapas principais que podem ser realizadas de forma manual, semi-automatizada ou completamente automatizada: **1. Enumeração da superfície pública** O adversário mapeia todos os domínios e subdomínios associados à organização-alvo. Ferramentas como `subfinder`, `amass` e `dnsx` auxiliam neste processo. O objetivo é identificar portais internos expostos, intranets acessíveis publicamente, APIs documentadas e painéis administrativos inadvertidamente expostos. **2. Extração de conteúdo e metadados** Com os endereços mapeados, o adversário realiza scraping sistemático do conteúdo. Informações buscadas incluem: - Organigramas e listas de funcionários (páginas "Sobre Nós", "Nossa Equipe") - Endereços de e-mail em formatos que revelam o padrão adotado pela empresa - Tecnologias utilizadas (rodapés de página, tags HTML, comentários no código-fonte) - Documentos públicos (PDFs, apresentações, contratos) que podem conter metadados com nomes de usuário e caminhos de rede internos - Comúnicados de imprensa com detalhes sobre parceiros, fornecedores e clientes **3. Descoberta de conteúdo oculto** Utilizando técnicas de fuzzing de diretórios e arquivos como o [[t1595-003-wordlist-scanning|Wordlist Scanning (T1595.003)]], os adversários tentam acessar áreas não vinculadas publicamente, como `/admin`, `/backup`, `/api/docs`, `/internal`, entre outros. Arquivos `robots.txt` e `sitemap.xml` são analisados para revelar caminhos que a organização explicitamente não quer indexados pelos motores de busca - paradoxalmente, estes são alvos prioritários para adversários. --- ## Attack Flow ```mermaid graph TB A[Identificação do Alvo<br/>Domínio principal + subdomínios] --> B[Enumeração de Subdomínios<br/>amass / subfinder / dnsx] B --> C[Mapeamento de Superfície<br/>Sitemap.xml + robots.txt] C --> D[Scraping de Conteúdo<br/>Funcionários, tecnologias, parceiros] D --> E[Descoberta de Diretórios<br/>Wordlist scanning / gobuster] E --> F[Extração de Metadados<br/>PDFs, DOCX, apresentações] F --> G[Correlação e Enriquecimento<br/>LinkedIn, OSINT social] G --> H{Objetivos Alcançados?} H -->|Sim| I[Planejamento do Ataque<br/>Phishing alvo + exploração] H -->|Não| J[Reconhecimento Adicional<br/>T1598 / T1596 / T1593] J --> B ``` --- ## Exemplos de Uso ### Silent Librarian (TA407) - Ataques a Universidades O grupo iraniano [[g0122-silent-librarian|Silent Librarian]], associado ao IRGC, utilizou extensivamente a pesquisa em sites de universidades para identificar portais de biblioteca, sistemas de acesso remoto, e-mails de bibliotecários e professores. Com esses dados, construíam páginas de phishing altamente convincentes que imitavam os portais legítimos das instituições. O grupo atacou dezenas de universidades no Brasil, EUA, Europa e Austrália entre 2013 e 2023. ### Kimsuky - Reconhecimento em Think Tanks O grupo norte-coreano [[g0094-kimsuky|Kimsuky]] é conhecido por pesquisar exaustivamente os sites de think tanks, organizações governamentais e empresas de defesa antes de lançar spear-phishing altamente direcionado. Extrai nomes de analistas, pesquisadores e funcionários, além de detalhes sobre projetos em andamento publicados em relatórios e press releases. ### Volt Typhoon - Infraestrutura Crítica nos EUA e LATAM O grupo chinês [[g1017-volt-typhoon|Volt Typhoon]], focado em infraestrutura crítica, realiza reconhecimento meticuloso em sites de empresas de energia, telecomúnicações e transporte. A busca por tecnologias utilizadas (sistemas SCADA, ICS, fornecedores de OT) nos sites dessas empresas orienta os vetores de ataque subsequentes. ### EXOTIC LILY - BEC e Supply Chain O grupo [[g1011-exotic-lily|EXOTIC LILY]], vinculado ao ecossistema do Conti ransomware, pesquisava sistematicamente os sites de empresas-alvo para identificar fornecedores e parceiros comerciais, possibilitando ataques de Business Email Compromise (BEC) altamente contextualizados e ataques via supply chain. ### Sandworm - Infraestrutura Ucraniana e Europeia O grupo russo [[g0034-sandworm|Sandworm Team]] realizou reconhecimento extensivo em sites de infraestrutura de energia e governo ucraniano antes dos ataques de 2015-2016 que derrubaram a rede elétrica do país. A análise de sites de fornecedores de ICS expôs os sistemas utilizados. --- ## Detecção Como esta técnica ocorre antes do comprometimento ativo (fase PRE), a detecção direta pela organização-alvo é limitada. No entanto, algumas medidas de monitoramento são possíveis: **Logs de Servidor Web** Padrões anormais de requisições HTTP podem indicar enumeração automatizada: - Alto volume de requisições 404 em sequência (wordlist scanning) - User-agents incomuns ou ferramentas conhecidas (DirBuster, gobuster, nikto) - Acesso sequencial a caminhos como `/admin`, `/backup`, `/config`, `/api` - Requisições a `robots.txt` e `sitemap.xml` por IPs de serviços de varredura conhecidos ```yaml title: Detecção de Enumeração de Diretórios Web status: experimental logsource: category: webserver product: nginx detection: selection_scan_pattern: cs-uri-stem|contains: - '/admin' - '/backup' - '/.git' - '/wp-admin' - '/phpmyadmin' - '/config' - '/api/v1' sc-status: '404' selection_high_volume: sc-status: '404' timeframe: 1m condition: selection_scan_pattern or (selection_high_volume | count() > 50) level: medium tags: - attack.reconnaissance - attack.t1594 - attack.t1595.003 ``` **Honeypots e Tokens de Monitoramento** - Criar páginas de isca (canary pages) não vinculadas ao site principal - Inserir "canary tokens" em documentos PDF públicados no site - Monitorar acesso a subdomínios de staging não anunciados --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | A principal mitigação é de caráter preventivo: limitar a quantidade de informações sensíveis expostas publicamente nos sites da organização. Revisar regularmente o conteúdo publicado. | | - | Auditoria de Conteúdo | Conduzir revisões periódicas do site para identificar e remover informações desnecessáriamente expostas (organigramas detalhados, e-mails diretos, tecnologias utilizadas). | | - | Robots.txt e Sitemap | Evitar listar caminhos sensíveis no `robots.txt` - esse arquivo é público e paradoxalmente sinaliza áreas de interesse para adversários. | | - | Metadados de Documentos | Remover metadados de documentos (PDFs, DOCXs) antes de publicá-los. Metadados podem revelar nomes de usuário, versões de software e caminhos de rede internos. | | - | Web Application Firewall | Configurar WAF para detectar e bloquear padrões de varredura automatizada (ferramentas de enumeração de diretórios). | --- ## Contexto Brasil/LATAM No contexto brasileiro e latino-americano, esta técnica é amplamente utilizada por grupos de **fraude financeira** e **ransomware** que operam na região. Sites de empresas do setor financeiro, como bancos, fintechs e seguradoras, são alvos frequentes de reconhecimento, pois frequentemente expõem informações sobre sistemas utilizados, parceiros tecnológicos e equipes de TI. O **[[g0122-silent-librarian|Silent Librarian]]** atacou múltiplas universidades brasileiras, incluindo instituições públicas federais, utilizando exatamente esta técnica para mapear portais de acesso remoto antes de lançar campanhas de phishing direcionadas a pesquisadores. Grupos de ransomware como [[blackcat|BlackCat]] e [[lockbit|LockBit]], que historicamente têm presença no Brasil, realizam reconhecimento detalhado em sites de suas vítimas para identificar o porte da empresa, número de funcionários, setor de atuação e parceiros - informações que alimentam a negociação de resgate e a personalização do ataque. O setor de saúde brasileiro, com a digitalização acelerada pós-pandemia, tornou-se um alvo crescente. Sites de hospitais e operadoras de saúde frequentemente expõem fornecedores de sistemas de prontuário eletrônico (PEP), detalhes de integrações com planos de saúde e informações de contato de equipes de TI - todos úteis para adversários em reconhecimento. **Recomendação para organizações brasileiras:** - Realizar exercícios regulares de OSINT em seus próprios sites (assumir a perspectiva do adversário) - Verificar se documentos públicados contêm metadados sensíveis - Monitorar o `robots.txt` e garantir que não exponha caminhos críticos - Implementar políticas de divulgação mínima de informações tecnológicas em canais públicos --- ## Referências - [MITRE ATT&CK - T1594: Search Victim-Owned Websites](https://attack.mitre.org/techniques/T1594) - [CISA Advisory - Silent Librarian (TA407)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-264a) - [Mandiant - UNC2452 Reconnaissance Tactics](https://www.mandiant.com/resources/blog) - [Unit 42 - EXOTIC LILY Initial Access Broker Analysis](https://unit42.paloaltonetworks.com/) - [Google TAG - EXOTIC LILY](https://blog.google/threat-analysis-group/exposing-initial-access-broker-ties-conti/) - [NIST SP 800-115 - Technical Guide to Information Security Testing](https://csrc.nist.gov/publications/detail/sp/800-115/final) - [[t1595-003-wordlist-scanning|T1595.003 - Wordlist Scanning]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - [[m1056-pre-compromise|M1056 - Pre-compromise]] --- *Fonte: [MITRE ATT&CK - T1594](https://attack.mitre.org/techniques/T1594) | Versão 16.2*