t1595-active-scanning

# T1595 - Active Scanning ## Descrição Varredura ativa (Active Scanning) é uma técnica de reconhecimento em que adversários enviam ativamente pacotes de rede e sondas para a infraestrutura da vítima a fim de coletar informações sobre o ambiente-alvo. Diferentemente de técnicas de reconhecimento passivo - que dependem de OSINT, análise de dados públicos ou monitoramento de tráfego existente - a varredura ativa implica **interação direta com os sistemas da vítima**, gerando tráfego de rede mensurável e potencialmente detectável. Esta técnica é catalogada na tática de **Reconnaissance** do MITRE ATT&CK e cobre a camada de plataforma PRE (pré-comprometimento), pois ocorre antes de qualquer acesso não autorizado aos sistemas. Apesar de técnicamente ser "pré-comprometimento", varreduras ativas cruzam a fronteira da interação com a infraestrutura da vítima, ao contrário de técnicas puramente OSINT. ### O que adversários buscam com varredura ativa: - **Hosts ativos**: Quais endereços IP no range-alvo possuem sistemas respondendo (ICMP ping, TCP handshake, etc.) - **Portas abertas e serviços**: Quais portas TCP/UDP estão abertas e que serviços as utilizam (HTTP, SSH, RDP, SMB, FTP, etc.) - **Versões de software e banners**: Versões de sistemas operacionais, servidores web, bancos de dados e appliances de rede - **Vulnerabilidades conhecidas**: Sistemas que respondem com comportamentos compatíveis com CVEs específicos - **Estrutura de URL e aplicações web**: Diretórios, arquivos e endpoints expostos em aplicações HTTP/HTTPS - **Certificados e configurações TLS**: Informações sobre cifras suportadas, versões TLS e válidade de certificados A varredura ativa alimenta diretamente a fase de planejamento do ataque, identificando os vetores de comprometimento inicial mais promissores, como exploração de serviços vulneráveis via [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ou acesso a serviços remotos via [[t1133-external-remote-services|T1133 - External Remote Services]]. --- ## Sub-técnicas - [[t1595-001-scanning-ip-blocks|T1595.001 - Scanning IP Blocks]] - [[t1595-002-vulnerability-scanning|T1595.002 - Vulnerability Scanning]] - [[t1595-003-wordlist-scanning|T1595.003 - Wordlist Scanning]] ## Como Funciona ### Fase 1: Identificação do Escopo Antes de iniciar a varredura, adversários definem o escopo com base em informações coletadas durante reconhecimento passivo: blocos de IP registrados no WHOIS, ASNs identificados via BGP, domínios e subdomínios mapeados via DNS e Certificaté Transparency. Isso define o "universo" de alvos para a varredura ativa. ### Fase 2: Host Discovery (Descoberta de Hosts) Adversários identificam quais endereços IP no range-alvo possuem sistemas ativos, utilizando: - **ICMP Echo Requests (ping)**: Rápido, mas frequentemente bloqueado por firewalls - **TCP SYN Scan**: Envia pacotes SYN para portas comuns; sistemas ativos respondem com SYN-ACK - **UDP Probes**: Para descoberta de serviços UDP (DNS, SNMP, NTP) - **ARP Scanning**: Em redes locais, mais confiável que ICMP Ferramentas: **Nmap**, **Masscan** (varredura ultra-rápida para ranges grandes), **Zmap** ### Fase 3: Port Scanning (Varredura de Portas) Para hosts descobertos, adversários realizam varredura de portas para identificar serviços expostos: - **TCP Connect Scan**: Completa o three-way handshake - mais detectável - **TCP SYN (Stealth) Scan**: Envia SYN, recebe SYN-ACK, envia RST - mais furtivo - **TCP FIN/NULL/XMAS Scans**: Técnicas evasivas que exploram ambiguidades da RFC TCP - **UDP Scan**: Mais lento e menos confiável; importante para DNS, SNMP, TFTP ### Fase 4: Service and Version Detection Com portas abertas identificadas, adversários determinam serviços e versões: - **Banner Grabbing**: Captura da resposta inicial de um serviço, que frequentemente contém a versão (ex: `OpenSSH 7.9p1`) - **Nmap Service Detection (`-sV`)**: Envia sondas específicas por protocolo e compara respostas com uma base de assinaturas - **OS Fingerprinting (`-O`)**: Analisa características do stack TCP/IP para inferir o sistema operacional ### Fase 5: Vulnerability Scanning Com versões conhecidas, adversários executam scanners de vulnerabilidades para identificar CVEs exploráveis: - **Nessus / OpenVAS / Nuclei**: Scanners que testam serviços contra uma base de plugins/templates de vulnerabilidades conhecidas - **Nuclei Templates**: Framework open-source com milhares de templates para detecção de vulnerabilidades específicas, exposições de configuração e endpoints sensíveis - **Scanners específicos por tecnologia**: SQLMap para SQLi, Nikto para aplicações web, testssl.sh para TLS misconfigurations --- ## Attack Flow ```mermaid graph TB A["Fase: Reconhecimento Pré-Comprometimento"] --> B["Coleta de Escopo - IP Ranges / ASN / Domínios"] B --> C["Host Discovery - ICMP / TCP SYN"] C --> D{"Hosts Ativos Identificados?"} D -- Não --> E["Expandir Range ou Ajustar Métodologia"] E --> C D -- Sim --> F["Port Scanning - TCP/UDP"] F --> G["Service / Version Detection - Banner Grabbing"] G --> H["OS Fingerprinting"] H --> I["Vulnerability Scanning - Nuclei / Nessus"] I --> J{"Vulnerabilidade Exploitável Encontrada?"} J -- Sim --> K["Seleção de Exploit - T1190 / T1133"] J -- Não --> L["Wordlist Scanning - T1595.003"] L --> M["Descoberta de Endpoints Sensíveis"] M --> K K --> N["Comprometimento Inicial"] ``` --- ## Exemplos de Uso ### Grupos APT - Reconhecimento Extenso Pré-Comprometimento Múltiplos grupos APT de nação-estado documentados pelo MITRE utilizam varredura ativa como parte padrão de seu ciclo de reconhecimento. O [[g1017-volt-typhoon|Volt Typhoon]], por exemplo, foi documentado realizando varreduras de portas e enumeração de serviços em ranges de IP de operadoras de telecomúnicações e prestadores de infraestrutura crítica dos EUA antes de qualquer exploração. ### Grupos de Ransomware - Targeting Automatizado Operadores de ransomware modernos, como afiliados de grandes cartéis (LockBit, ALPHV/BlackCat), frequentemente utilizam varreduras massivas com Masscan e Shodan para identificar instâncias vulneráveis de serviços específicos (ex: Fortinet VPN com [[cve-2023-27997|CVE-2023-27997]], Citrix Bleed [[cve-2023-4966|CVE-2023-4966]], Exchange ProxyShell). Isso permite identificar centenas ou milhares de alvos vulneráveis globalmente em minutos. ### Campanhas de BotNet - Scanning Massivo Automatizado Famílias de malware como Mirai e variantes escanéiam continuamente a internet em busca de dispositivos IoT com credenciais padrão ou vulnerabilidades específicas. O Brasil é frequentemente um dos países mais impactados por esses botnets, dado o alto volume de dispositivos IoT mal configurados e roteadores domésticos com firmware desatualizado. ### Red Teams e Pentesters Em exercícios legítimos de segurança ofensiva, varredura ativa é uma das primeiras etapas documentadas em qualquer métodologia de teste de penetração (PTES, OWASP Testing Guide, NIST SP 800-115). Ferramentas como Nmap, Masscan, Nessus e Burp Suite são usadas extensivamente por profissionais de segurança brasileiros em avaliações autorizadas. ### FIN13 - Targeting Financeiro LATAM O [[g1016-fin13|FIN13]], com operações documentadas no México e com possível alcance para outros países da LATAM incluindo o Brasil, utiliza varredura ativa para identificar sistemas de ponto de venda (POS), sistemas de caixa eletrônico (ATM) e servidores de gerenciamento conectados à internet antes de operações de comprometimento de sistemas financeiros. --- ## Detecção ### Fontes de Dados Relevantes - **Logs de firewall e IDS/IPS**: Padrões de varredura - múltiplas conexões TCP SYN para portas variadas a partir do mesmo IP em curto período - **NetFlow / IPFIX**: Análise de fluxos para identificar padrões de varredura em volume - **Honeypots e Honeynets**: Sistemas iscas que registram qualquer conexão, úteis para detectar varreduras indiscriminadas - **Logs de aplicação web**: Padrões de enumeração de URLs (respostas 404 em sequência) ### Indicadores de Varredura Ativa - Alta taxa de conexões TCP SYN sem completar o handshake (SYN flood ou stealth scan) - Conexões de um único IP para dezenas ou centenas de portas diferentes em segundos - User-agents característicos de scanners (Nmap, Masscan, Nuclei, Shodan, Censys) - Requisições HTTP para paths comuns de wordlists (`/admin`, `/phpinfo.php`, `/.git/`, `/.env`) - Requisições para endpoints de metadados de cloud (`169.254.169.254`) ### Sigma Rule - Varredura de Portas Horizontal ```yaml title: Varredura de Portas Horizontal - Múltiplas Portas por IP status: experimental logsource: category: firewall product: generic detection: selection: action: deny proto: TCP flags: SYN condition: selection timeframe: 60s condition: selection | count(dst_port) by src_ip > 20 level: medium tags: - attack.reconnaissance - attack.t1595 - attack.t1595.001 ``` ### Sigma Rule - Detecção de Scanner Nuclei via User-Agent ```yaml title: Detecção de Scanner Nuclei em Logs de Aplicação Web status: experimental logsource: category: webserver product: nginx detection: selection: http_user_agent|contains: - 'nuclei' - 'Nuclei' - 'Nmap Scripting Engine' - 'masscan' - 'zgrab' - 'python-httpx' condition: selection level: high tags: - attack.reconnaissance - attack.t1595 - attack.t1595.002 ``` ### Sigma Rule - Enumeração de Diretórios Web (Wordlist Scanning) ```yaml title: Enumeração de Diretórios Web - Alta Taxa de 404 status: experimental logsource: category: webserver product: apache detection: selection: http_status: 404 condition: selection timeframe: 30s condition: selection | count() by src_ip, http_vhost > 30 level: medium tags: - attack.reconnaissance - attack.t1595 - attack.t1595.003 ``` --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Reduzir a superfície de ataque exposta externamente. Desabilitar serviços desnecessários, usar portas não-padrão para serviços administrativos, implementar segmentação de rede para limitar o que é visível externamente. | | - | Raté Limiting e Throttling | Implementar raté limiting em firewalls e balanceadores de carga para limitar conexões por IP/segundo, dificultando varreduras de alta velocidade (Masscan). | | - | Fail2Ban e Bloqueio Dinâmico | Utilizar soluções como Fail2Ban, CrowdSec ou firewalls com capacidade de bloqueio automático para banir IPs que demonstrem padrões de varredura. | | - | Honeypots e Honeynets | Implementar honeypots em endereços IP não utilizados e portas não utilizadas para detectar e registrar atividades de varredura. | | - | Gestão de Superfície de Ataque | Implementar programas contínuos de External Attack Surface Management (EASM) para identificar e reduzir serviços e versões expostos que poderiam ser alvos de varredura. | | - | IDS/IPS com Assinaturas de Scanning | Manter assinaturas atualizadas em IDS/IPS para detectar padrões de varredura conhecidos (Nmap, Masscan, Nuclei, Shodan). Snort/Suricata possuem regras específicas para detecção de scanner. | --- ## Contexto Brasil/LATAM O Brasil e a América Latina apresentam cenários específicos que tornam a varredura ativa uma técnica especialmente relevante: **Brasil como Alvo de Varreduras Massivas**: O Brasil consistentemente aparece entre os países com maior volume de eventos de varredura de rede recebidos. Relatórios anuais do CERT.br documentam dezenas de milhões de incidentes relacionados a varreduras, com picos frequentes durante períodos de exploração de novas CVEs críticas. A ampla base de usuários de internet e o alto número de sistemas desatualizados tornam o Brasil um alvo atrativo para varreduras oportunistas. **IoT Vulnerável e Banda Larga Residencial**: O crescimento acelerado de conexões de banda larga e IoT no Brasil gerou uma grande superfície de ataque composta por roteadores domésticos com firmware desatualizado, câmeras IP sem senha e dispositivos de automação residencial expostos. Botnets como Mirai e variantes realizam varreduras contínuas buscando esses dispositivos, usando a infraestrutura comprometida para novos ataques. **Setor de Saúde Exposto**: A digitalização acelerada do setor de saúde brasileiro durante e após a pandemia de COVID-19 resultou em sistemas hospitalares e de laboratório expostos à internet sem os controles adequados. Pesquisadores de segurança e grupos de ransomware utilizaram varreduras para identificar sistemas de prontuários eletrônicos, PACS (sistemas de imagem médica) e equipamentos médicos conectados vulneráveis. **Infraestrutura Pública e Municipal**: Prefeituras e órgãos estaduais brasileiros frequentemente possuem serviços administrativos expostos à internet com vulnerabilidades conhecidas. A falta de recursos e expertise em segurança no setor público cria um ambiente onde varreduras de vulnerabilidades frequentemente identificam targets de baixa dificuldade. **Ferramentas Utilizadas no Ecossistema Brasileiro**: A comunidade de segurança ofensiva brasileira (inclui tanto pentesters legítimos quanto atores maliciosos) demonstra alto nível de sofisticação no uso de ferramentas de varredura. Ferramentas como Nuclei, com templates em português para aplicações comuns no mercado brasileiro, são amplamente utilizadas em assessments e, potencialmente, em ataques. Técnicas frequentemente encadeadas com varredura ativa no contexto LATAM: - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1590-004-network-topology|T1590.004 - Network Topology]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] --- ## Referências - [MITRE ATT&CK - T1595](https://attack.mitre.org/techniques/T1595) - [MITRE ATT&CK - T1595.001 Scanning IP Blocks](https://attack.mitre.org/techniques/T1595/001) - [MITRE ATT&CK - T1595.002 Vulnerability Scanning](https://attack.mitre.org/techniques/T1595/002) - [MITRE ATT&CK - T1595.003 Wordlist Scanning](https://attack.mitre.org/techniques/T1595/003) - [CERT.br - Estatísticas de Incidentes de Segurança](https://www.cert.br/stats/) - [Nmap - Network Mapper Documentation](https://nmap.org/book/man.html) - [Nuclei - Project Discovery](https://nuclei.projectdiscovery.io/) - [Masscan - GitHub](https://github.com/robertdavidgraham/masscan) - [Volt Typhoon - CISA Advisory AA24-038A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a) - [FIN13 - Mandiant Threat Actor Report](https://www.mandiant.com/resources/blog/fin13-cybercriminal-mexico) - [Sigma Rules - Detection Rules Repository](https://github.com/SigmaHQ/sigma)