# T1595.002 - Vulnerability Scanning ## Técnica Pai Esta é uma sub-técnica de [[t1595-active-scanning|T1595 - T1595 - Active Scanning]]. ## Descrição O **Vulnerability Scanning** (Varredura de Vulnerabilidades) é uma sub-técnica de [[t1595-active-scanning|T1595 - Active Scanning]] na qual adversários realizam varreduras ativas contra sistemas-alvo para identificar vulnerabilidades exploráveis antes de iniciar um ataque. Esta técnica ocorre na fase de **Reconhecimento** da cadeia de ataque e é amplamente utilizada por grupos APT, operadores de ransomware e atores de espionagem cibernética ao redor do mundo, incluindo no contexto Brasil/LATAM. A varredura de vulnerabilidades normalmente verifica se a configuração de um host ou aplicação alvo - como versão de software e serviços expostos - corresponde ao perfil de um exploit específico que o adversário planejá utilizar. Ferramentas como **Shodan**, **Masscan**, **Nmap**, **Nessus**, **OpenVAS** e **Nuclei** são amplamente utilizadas para essa finalidade, tanto por defensores legítimos quanto por atores maliciosos. Além da identificação de vulnerabilidades conhecidas (CVEs), a varredura pode revelar informações sobre a superfície de ataque da organização: portas abertas, banners de serviços, versões de sistemas operacionais, tecnologias web e configurações equivocadas. Essas informações alimentam diretamente outras técnicas de reconhecimento e planejamento de ataque, como [[t1592-gather-victim-host-information|T1592 - Gather Victim Host Information]], [[t1583-001-domains|Domains]] e [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]]. Grupos como [[g0034-sandworm|Sandworm Team]], [[g0007-apt28|APT28]], [[g0016-apt29|APT29]], [[g0096-apt41|APT41]] e [[g0139-teamtnt|TeamTNT]] são documentadamente associados ao uso de varreduras automatizadas de vulnerabilidade em campanhas globais. No contexto financeiro e de infraestrutura crítica do Brasil, esse comportamento precede frequentemente tentativas de [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]]. --- ## Como Funciona A varredura de vulnerabilidades opera em várias camadas, dependendo do objetivo do adversário: ### 1. Varredura de Portas e Banners O primeiro passo é identificar quais serviços estão expostos na internet. Ferramentas como **Nmap** e **Masscan** são utilizadas para mapear portas abertas (TCP/UDP) e coletar banners de serviços que revelam versões de software: - **Banner Grabbing**: conexão à porta 80/443 (HTTP/S), 22 (SSH), 25 (SMTP), 3389 (RDP) para coletar informações de versão - **Fingerprinting de SO**: técnicas de análise de TTL, tamanho de jánela TCP e opções de pacotes para inferir o sistema operacional - **Detecção de frameworks web**: identificação de WordPress, Drupal, Apache Struts, Laravel e outros via headers e paths padrão ### 2. Varredura de CVEs Específicos Com versões identificadas, o adversário compara contra bases de dados de vulnerabilidades (NVD, CISA KEV, Exploit-DB) para identificar CVEs aplicáveis. Ferramentas como **Nuclei** permitem executar templates de detecção para CVEs específicos em escala: - CVEs com PoC público disponível são priorizados (alto EPSS) - Vulnerabilidades sem patch ou com patch recente (jánela de exploração ativa) - CVEs que aparecem no [[m1056-pre-compromise|catálogo CISA KEV]] indicam exploração ativa conhecida ### 3. Enumeração de Configurações Além de CVEs, a varredura identifica erros de configuração que não possuem CVE associado: - Painéis de administração expostos sem autenticação (phpMyAdmin, Grafana, Kibana) - Buckets S3 públicos, Git repos acessíveis, arquivos `.env` expostos - Credenciais padrão em dispositivos IoT e equipamentos de rede (roteadores, firewalls) - Serviços de gerenciamento remoto sem MFA (RDP, VNC, SSH com senha fraca) ### 4. Reconhecimento de Infraestrutura Cloud Com a migração de organizações brasileiras para cloud (AWS, Azure, GCP), adversários adaptam as varreduras para enumerar: - Instâncias EC2/VMs com portas abertas expostas sem Security Groups adequados - APIs REST sem autenticação expostas publicamente - Metadata services acessíveis (SSRF para obter credenciais IAM) --- ## Attack Flow ```mermaid graph TB A["Seleção do Alvo<br/>Identificação de IP ranges<br/>e domínios da organização"] --> B["Varredura de Portas<br/>Nmap / Masscan<br/>Identificação de serviços expostos"] B --> C["Banner Grabbing<br/>Coleta de versões de software<br/>e tecnologias"] C --> D["Correlação com CVEs<br/>Comparação com NVD / CISA KEV<br/>Identificação de vulnerabilidades"] D --> E["Varredura de Exploits<br/>Nuclei templates<br/>Verificação de vulnerabilidade"] E --> F{"Vulnerabilidade<br/>Encontrada?"} F -->|"Sim"| G["Documentação do Alvo<br/>Priorização para exploração<br/>Passagem para T1190"] F -->|"Não"| H["Reconhecimento Adicional<br/>T1593 / T1596<br/>Busca em fontes abertas"] G --> I["Exploit Public-Facing App<br/>T1190 - Initial Access<br/>Exploração da vulnerabilidade"] H --> B ``` --- ## Exemplos de Uso ### Sandworm Team (APT44 / Voodoo Bear) O grupo russo [[g0034-sandworm|Sandworm Team]], ligado ao GRU, utilizou varreduras massivas de vulnerabilidades antes de ataques a infraestrutura crítica ucraniana e europeia. Em campanhas documentadas, o grupo utilizou varreduras de CVEs em sistemas industriais SCADA/ICS, incluindo equipamentos Siemens e Schneider Electric. A CISA documentou o uso de Shodan pelo grupo para identificar alvos expostos antes de ataques destrutivos com malware [[s0604-industroyer|Crashoverride]]. ### APT41 (Double Dragon) O grupo chinês [[g0096-apt41|APT41]] utilizou varreduras automatizadas de vulnerabilidades para identificar sistemas Citrix (CVE-2019-19781), SolarWinds Orion e Cisco ASA antes de campanhas de espionagem e crime financeiro. O grupo opera com velocidade notável: em alguns casos, a varredura e exploração ocorreram em menos de 48 horas após a publicação de um CVE. ### TeamTNT O grupo de criptomineração [[g0139-teamtnt|TeamTNT]] conduziu varreduras massivas em ranges de IP públicos para identificar instâncias Docker expostas (porta 2375 sem TLS), servidores Kubernetes sem autenticação e Redis sem senha. No Brasil, servidores em provedores como Locaweb, UOL Host e AWS São Paulo foram alvos documentados de varreduras desse tipo. ### Ember Bear (UAC-0056) O grupo ucraniano [[g1003-ember-bear|Ember Bear]] foi documentado realizando varreduras de vulnerabilidades contra organizações governamentais ucranianas e europeias, com foco em sistemas Confluence (CVE-2021-44228 - Log4Shell) e Microsoft Exchange antes de ataques de defacement e exfiltração de dados. ### Winter Vivern (TA473) O grupo [[g1035-winter-vivern|Winter Vivern]] foi documentado realizando varreduras contra servidores Zimbra (CVE-2022-27926) de governos europeus e asiáticos, explorando versões desatualizadas para acesso inicial e espionagem diplomática. --- ## Detecção ### Indicadores de Comprometimento (IoCs comportamentais) A varredura de vulnerabilidades deixa rastros distintos nos logs de rede e sistemas: - Picos de conexões TCP/SYN de um único IP externo em múltiplas portas (varredura de portas) - User-agents característicos de ferramentas de scan: `Nmap`, `Masscan`, `Nuclei`, `zgrab`, `shodan.io` - Tentativas de acesso a paths sensíveis (`/.env`, `/admin`, `/api/v1/`, `/.git/config`) - Tentativas de conexão a portas incomuns (2375 Docker, 6379 Redis, 9200 Elasticsearch) - Requisições HTTP com payloads de detecção de CVE (e.g., strings Log4Shell `${jndi:ldap://...}`) ### Regra Sigma - Detecção de Varredura de Vulnerabilidades ```yaml title: Suspicious Vulnerability Scanning Activity status: experimental description: Detecta padrões de varredura de vulnerabilidades em logs de acesso web logsource: category: webserver product: apache detection: selection_paths: cs-uri-stem|contains: - '/.env' - '/.git/config' - '/admin/config.php' - '/wp-config.php' - '/actuator/env' - '/api/swagger-ui' selection_useragents: cs-user-agent|contains: - 'Nuclei' - 'zgrab' - 'masscan' - 'python-requests' - 'Go-http-client' selection_log4shell: cs-uri-query|contains: - '${jndi:' - '${${lower:j}ndi:' condition: 1 of selection_* level: medium tags: - attack.reconnaissance - attack.t1595.002 falsepositives: - Scanners de segurança internos legítimos - Ferramentas de pentest autorizadas ``` ### Detecção via SIEM (Splunk) ``` index=proxy sourcetype=access_combined | where match(uri_path, "(/\.env|/\.git|/wp-config|/actuator|/api/swagger)") | stats count dc(uri_path) as unique_paths by src_ip | where count > 20 AND unique_paths > 5 | sort - count ``` ### Fontes de Dados Recomendadas - **Firewall/IDS logs**: Detecção de SYN scans e connection floods - **Web Application Firewall (WAF)**: Alertas de varredura de payloads CVE - **Honeypots/Honeytokens**: Canary tokens em paths sensíveis (.env, /admin) - **NetFlow/IPFIX**: Análise de volume e padrão de conexões inbound - **Threat Intelligence Feeds**: Correlação de IPs fontes com listas de scanners conhecidos (Shodan, Censys, GreyNoise) --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Medidas aplicadas antes do comprometimento: reduzir superfície de ataque exposta, remover serviços desnecessários da internet, implementar patching contínuo de CVEs críticos | | - | Gestão de Superfície de Ataque (ASM) | Utilizar ferramentas como Shodan Monitor, Censys, ou Tenable.io para monitorar a própria superfície de ataque e identificar exposições antes dos atacantes | | - | Firewall e Segmentação de Rede | Restringir acesso às portas de gerenciamento (RDP, SSH, VNC, Docker API) a ranges de IP autorizados via ACLs | | - | Raté Limiting e WAF | Implementar raté limiting em endpoints web para dificultar varreduras automatizadas; WAF para detectar e bloquear payloads de CVE conhecidos | | - | Patching Proativo | Priorizar patches para CVEs com EPSS > 0.5 e CVEs no catálogo CISA KEV dentro de 24-72 horas | | - | Inventário de Ativos | Manter inventário atualizado de todos os serviços expostos à internet; eliminar shadow IT e serviços não autorizados | --- ## Contexto Brasil/LATAM O Brasil é um dos países mais afetados por varreduras automatizadas de vulnerabilidades na América Latina, reflexo de sua grande base de infraestrutura conectada à internet e da adoção acelerada de cloud computing. Dados do **CERT.br** consistentemente posicionam o Brasil entre os top 5 países em volume de incidentes reportados, com varreduras maliciosas representando uma parcela significativa. ### Setores mais afetados no Brasil - **Setor financeiro**: bancos e fintechs são alvos preferênciais de varreduras em busca de APIs expostas e sistemas de internet banking vulneráveis. O [[sector-financeiro|setor financeiro brasileiro]] processa mais de R$ 2 trilhões/dia via PIX e TED, tornando-o altamente atrativo - **Governo e prefeituras**: sistemas municipais com infraestrutura desatualizada são frequentemente identificados em campanhas de varredura. Casos de ransomware em municípios brasileiros frequentemente iniciam com exploração de CVEs identificados por varredura - **Saúde**: com a pandemia COVID-19, hospitais e laboratórios brasileiros tornaram-se alvos crescentes. Sistemas de gestão hospitalar com RDP exposto foram alvos diretos de varreduras por grupos de ransomware como [[lockbit|LockBit]] e [[blackcat|BlackCat]] - **Energia e utilities**: provedoras de energia elétrica e telecomúnicações são alvos de grupos com motivação de espionagem e disruption ### Ferramentas de scan observadas em incidentes brasileiros - **Shodan e Censys**: utilizados por atores para identificar alvos brasileiros por ASN, cidade e tipo de serviço - **Nuclei**: amplamente utilizado em campanhas contra aplicações web no Brasil, especialmente contra CVEs recentes em frameworks populares (Laravel, WordPress, Magento) - **Masscan + Nmap**: combinação comum em campanhas de ransomware para mapear redes corporativas após acesso inicial ### Recomendação específica para o contexto brasileiro Organizações brasileiras devem subscrever os alertas do **CERT.br** e do **CSIRT GOV** (para governo federal), além de monitorar o catálogo CISA KEV com foco em tecnologias prevalentes no mercado nacional: Microsoft Exchange, Fortinet FortiGaté/FortiManager (objeto de múltiplos [[cve-2024-47575|CVEs críticos em 2024]]), Cisco ASA/FTD, VMware vCenter e sistemas de ERP como TOTVS e SAP. --- ## Referências - [MITRE ATT&CK - T1595.002](https://attack.mitre.org/techniques/T1595/002/) - [CERT.br - Relatório Anual de Incidentes](https://www.cert.br/stats/incidentes/) - [CISA - Known Exploited Vulnerabilities Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Nuclei Templates Repository](https://github.com/projectdiscovery/nuclei-templates) - [GreyNoise - Understand Internet Noise](https://www.greynoise.io/) - [Shodan - Internet Intelligence](https://www.shodan.io/) - [CISA Advisory - Sandworm (AA20-296A)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-296a) - [Mandiant - APT41 Threat Profile](https://www.mandiant.com/resources/apt41-double-dragon) - [[m1056-pre-compromise|M1056 - Pre-compromise]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]]