# T1596.002 - WHOIS
## Descrição
A técnica T1596.002 descreve o uso malicioso de consultas WHOIS por adversários durante a fase de reconhecimento de um ataque. O protocolo WHOIS é um serviço de consulta pública que permite a qualquer pessoa obter informações sobre o registro de domínios e endereços IP na internet. Essas informações são mantidas pelos Registros Regionais de Internet (RIRs), como LACNIC (responsável pela América Latina e Caribe), ARIN (América do Norte), RIPE NCC (Europa), APNIC (Ásia-Pacífico) e AFRINIC (África). O LACNIC tem papel especialmente relevante para o contexto do Brasil e da América Latina.
Adversários utilizam consultas WHOIS para mapear a superfície de ataque de uma organização-alvo sem qualquer interação direta com os sistemas da vítima. Ao consultar registros WHOIS de domínios corporativos, o atacante pode identificar blocos de endereços IP registrados, informações de contato (nomes, e-mails e telefones de responsáveis técnicos), servidores de nomes DNS autoritativos, datas de criação e expiração de registros, e a entidade registradora (registrar) responsável pelo domínio. Esses dados formam a base para campanhas de [[t1598-phishing-for-information|Phishing for Information]] e ataques de engenharia social altamente direcionados.
A natureza passiva desta técnica torna sua detecção extremamente difícil. Como os dados WHOIS são públicos e disponíveis por design, não há mecanismo para impedir que um adversário os consulte. O defensor raramente saberá que está sendo alvo de reconhecimento via WHOIS até que um ataque subsequente materialize evidências. A informação coletada complementa outras técnicas de reconhecimento como [[t1595-active-scanning|Active Scanning]], [[t1590-gather-victim-network-information|Gather Victim Network Information]] e [[t1591-gather-victim-org-information|Gather Victim Org Information]], construindo um perfil detalhado antes de qualquer ação ofensiva direta.
## Como Funciona
O protocolo WHOIS opera na porta TCP 43 e utiliza um formato de consulta texto simples. O fluxo básico envolve: (1) o cliente envia o nome de domínio ou endereço IP para o servidor WHOIS do RIR ou registrar correspondente; (2) o servidor retorna um registro estruturado com metadados de registro. Ferramentas de linha de comando como `whois`, `dig` e `nslookup` permitem consultas diretas, enquanto portais web como `whois.domaintools.com`, `who.is`, `whois.icann.org` e os portais dos próprios RIRs oferecem interfaces gráficas.
Adversários sofisticados utilizam ferramentas automatizadas para consultar WHOIS em escala, mapeando toda a presença online de uma organização. Combinando consultas WHOIS com varreduras de DNS reverso (PTR records), é possível identificar blocos CIDR completos pertencentes à organização-alvo. A partir dos blocos IP identificados, o atacante avança para [[t1595-active-scanning|Active Scanning]] para descobrir hosts ativos, portas abertas e serviços expostos. Servidores DNS autoritativos revelados pelo WHOIS tornam-se alvos para [[dc0096-passive-dns|Passive DNS]] e potencialmente para ataques de envenenamento de cache DNS.
Informações de contato extraídas (nomes de administradores técnicos, endereços de e-mail corporativos) alimentam diretamente ataques de spear-phishing direcionados. E-mails de contato encontrados em registros WHOIS são alvos primários para [[t1566-phishing|Phishing]] e campanhas de [[t1598-phishing-for-information|Phishing for Information]]. A data de expiração de domínios também é monitorada por adversários para tentativas de domain hijacking - registrar o domínio caso expire sem renovação, permitindo interceptação de e-mails e tráfego web legítimo da organização.
Ferramentas comuns usadas por adversários para esta técnica incluem:
- **whois** (CLI nativa em Linux/macOS)
- **DomainTools** - plataforma comercial com histórico WHOIS
- **SecurityTrails** - mapeamento de infraestrutura usando dados WHOIS históricos
- **Shodan** - integra dados WHOIS com varredura de portas
- **Maltego** - plataforma OSINT que correlaciona dados WHOIS com outras fontes
- **theHarvester** - ferramenta open-source de coleta de informações que inclui consultas WHOIS
## Attack Flow
```mermaid
graph TB
A["Adversário identifica alvo<br/>(organização, domínio)"] --> B["Consulta WHOIS<br/>do domínio principal"]
B --> C["Extrai blocos IP<br/>registrados no RIR/LACNIC"]
B --> D["Coleta contatos técnicos<br/>(nomes, e-mails, telefones)"]
B --> E["Identifica servidores DNS<br/>autoritativos"]
C --> F["Active Scanning<br/>T1595 Active Scanning"]
D --> G["Spear-Phishing direcionado<br/>T1566 Phishing"]
E --> H["DNS Reconnaissance<br/>T1596 001 Dns Passive Dns"]
F --> I["Mapeamento de superfície<br/>de ataque"]
G --> I
H --> I
I --> J["Estabelece infraestrutura<br/>ou executa acesso inicial"]
```
## Exemplos de Uso
**APT29 (Cozy Bear) - Operações de reconhecimento pré-ataque:** Relatórios do Mandiant e CrowdStrike descrevem o uso extensivo de ferramentas OSINT incluindo WHOIS por parte do APT29 para mapear a infraestrutura de alvos governamentais e de defesa antes de campanhas de espionagem. O grupo utiliza serviços comerciais de inteligência de domínio para acessar históricos WHOIS e identificar registros que revelam a relação entre entidades subsidiárias e a organização-mãe.
**Grupos de ransomware - Reconhecimento pré-intrusão:** Grupos como [[lockbit|LockBit]] e [[blackcat|ALPHV]] documentadamente realizam fases extensas de reconhecimento antes de ataques. Consultas WHOIS fazem parte do arsenal para identificar blocos IP de VPNs corporativas, servidores de e-mail e portais de acesso remoto, que se tornam os vetores de acesso inicial através de exploração de [[t1133-external-remote-services|External Remote Services]].
**Operações de espionagem contra setor financeiro brasileiro:** O CERT.br documentou campanhas de reconhecimento contra instituições financeiras brasileiras onde adversários utilizaram consultas WHOIS via LACNIC para mapear os blocos de endereçamento IP de bancos e fintechs antes de campanhas de phishing sofisticadas. Os registros WHOIS do LACNIC frequentemente contêm informações mais detalhadas do que os de outros RIRs, incluindo contatos técnicos e administrativos nominais.
**Campanha SolarWinds (2020):** O grupo [[g0016-apt29|APT29]] utilizou WHOIS e outras técnicas de reconhecimento passivo para mapear a infraestrutura de clientes SolarWinds antes de ativar os backdoors SUNBURST, permitindo priorizar quais alvos apresentavam maior valor de inteligência.
## Detecção
Detecção direta de consultas WHOIS é práticamente impossível, pois se trata de consultas a servidores públicos externos. A estratégia de detecção mais eficaz é **monitorar os próprios registros WHOIS** para identificar quando os dados da organização estão sendo consultados (via alertas em serviços como DomainTools ou SecurityTrails) e correlacionar com eventos de acesso suspeito subsequentes.
```yaml
title: Detecção de Ferramentas OSINT de WHOIS em Endpoint
status: experimental
logsource:
category: process_creation
product: windows
detection:
selection_whois_tools:
CommandLine|contains:
- 'whois'
- 'DomainTools'
- 'theHarvester'
- 'maltego'
- 'recon-ng'
selection_suspicious_domains:
CommandLine|contains:
- '.com.br'
- 'lacnic.net'
- 'registro.br'
condition: selection_whois_tools
level: low
tags:
- attack.reconnaissance
- attack.t1596.002
```
Estrategias complementares de detecção incluem:
- **Monitoramento de registro.br**: O NIC.br oferece alertas de consulta WHOIS para domínios `.br` - configurar alertas para picos de consulta incomuns
- **Honeypot de contatos WHOIS**: Usar endereços de e-mail exclusivos nos registros WHOIS para detectar quando esses contatos são explorados em campanhas de phishing
- **Correlação de acesso**: Se um endereço IP que consultou WHOIS aparecer posteriormente em logs de acesso, elevar o nível de alerta
- **Monitoramento de expiração**: Alertas sobre domínios próximos da expiração para evitar domain hijacking
## Mitigação
| ID | Mitigação | Descrição |
|----|-----------|-----------|
| [[m1056-pre-compromise\|M1056]] | Pre-Compromise | A principal mitigação aplicável. Adversários realizando reconhecimento via WHOIS estão em fase pré-comprometimento, fora do alcance de controles técnicos tradicionais. A defesa deve focar em reduzir a exposição de informações nos próprios registros WHOIS. |
**Medidas práticas de redução de superfície:**
- **Privacidade de WHOIS (RDAP Privacy)**: Utilizar serviços de proteção de privacidade WHOIS oferecidos pelos registrars para mascarar dados de contato pessoal. Para domínios `.br`, o NIC.br/registro.br oferece opções de privacidade para contatos pessoa física.
- **Contatos genéricos**: Usar endereços de e-mail funcionais (ex: `
[email protected]`) em vez de e-mails nominais de funcionários nos registros WHOIS, reduzindo o valor para campanhas de spear-phishing.
- **Blocos IP mínimos necessários**: Registrar apenas os blocos de endereçamento efetivamente em uso junto ao LACNIC, evitando expor infraestrutura reservada ou futura.
- **Auditoria periódica**: Revisar regularmente os dados registrados no WHOIS e no LACNIC para garantir que não há informações desnecessáriamente expostas.
- **Monitoramento de domínios**: Implementar alertas de renovação automática e monitorar o WHOIS de domínios próprios para detectar tentativas de hijacking.
## Contexto Brasil/LATAM
O Brasil possui um ecossistema de registro de domínios único que aumenta a relevância desta técnica para organizações brasileiras. O **NIC.br** (Núcleo de Informação e Coordenação do Ponto BR) administra o registro de domínios `.br` através do **registro.br**, e o **LACNIC** é o RIR responsável pela América Latina e Caribe para alocação de endereços IPv4, IPv6 e números de AS. Ambas as entidades mantêm bases WHOIS/RDAP públicas que são rotineiramente consultadas por adversários durante reconhecimento de alvos brasileiros.
O CERT.br documenta periodicamente campanhas de reconhecimento contra infraestrutura crítica brasileira - incluindo instituições financeiras, setor de energia e governo federal - onde dados WHOIS/LACNIC são combinados com outras fontes OSINT para construir perfis de ataque detalhados. Grupos de espionagem com interesse em LATAM, como [[g1028-apt-c-23|APT-C-23]] e grupos vinculados a interesses chineses e russos, utilizam esses dados públicos para mapear alvos estratégicos.
A proliferação de fintechs e startups tecnológicas no Brasil - frequentemente com práticas de higiene WHOIS menos rigorosas que grandes corporações - cria oportunidades para adversários. Muitos domínios de empresas emergentes mantêm dados de contato pessoais expostos no WHOIS, facilitando campanhas de engenharia social. O setor financeiro brasileiro, alvo preferêncial de grupos como [[g0032-lazarus-group|Lazarus Group]] e operadores de [[trojan-grandoreiro|Grandoreiro]], é particularmente visado nessa fase de reconhecimento.
## Referências
**Técnicas relacionadas:**
- [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] (técnica pai)
- [[dc0096-passive-dns|Passive DNS]]
- [[t1595-active-scanning|T1595 - Active Scanning]]
- [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]]
- [[t1591-gather-victim-org-information|T1591 - Gather Victim Org Information]]
- [[t1566-phishing|T1566 - Phishing]]
- [[t1598-phishing-for-information|T1598 - Phishing for Information]]
- [[t1133-external-remote-services|T1133 - External Remote Services]]
- [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]]
- [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]]
**Mitigações:**
- [[m1056-pre-compromise|M1056 - Pre-Compromise]]
**Grupos relacionados ao contexto LATAM:**
- [[g0032-lazarus-group|Lazarus Group]] - espionagem e crime financeiro com alvos em LATAM
- [[g0016-apt29|APT29]] - uso extensivo de OSINT/WHOIS em operações de espionagem
---
*Fonte: [MITRE ATT&CK - T1596.002](https://attack.mitre.org/techniques/T1596/002)*