# T1596.005 - Scan Databases ## Descrição Adversários podem pesquisar em bancos de dados públicos de varredura de redes para coletar informações sobre alvos potenciais antes de iniciar uma operação. Serviços como Shodan, Censys, ZoomEye e FOFA realizam varreduras contínuas da internet e indexam os resultados, catalogando endereços IP ativos, hostnames, portas abertas, banners de serviços, certificados TLS/SSL e até configurações expostas de dispositivos. Essas plataformas funcionam essencialmente como motores de busca para infraestrutura exposta na internet, e adversários as exploram sistematicamente durante a fase de reconhecimento. A coleta de dados a partir de scan databases é uma técnica passiva de reconhecimento - o adversário não interage diretamente com a infraestrutura do alvo, o que torna a detecção extremamente difícil. Ao invés de disparar scans ativos que podem gerar alertas em sistemas de detecção de intrusão, o atacante simplesmente consulta registros históricos já coletados por terceiros. Isso permite mapear toda a superfície de ataque de uma organização - incluindo ativos esquecidos, sistemas legados e serviços expostos inadvertidamente - sem qualquer sinal de alerta para a vítima. As informações obtidas por meio de scan databases frequentemente revelam oportunidades concretas para exploração: serviços com versões vulneráveis identificadas por banners, certificados expirados que indicam negligência operacional, painéis administrativos expostos à internet, dispositivos IoT com credenciais padrão, e redes de parceiros e fornecedores que possuem conectividade privilegiada com o alvo principal. Grupos como [[g0096-apt41|APT41]] e [[g1017-volt-typhoon|Volt Typhoon]] fazem uso intensivo dessas fontes como parte de campanhas de espionagem sofisticadas e de longa duração. ## Como Funciona O processo de exploração de scan databases segue um fluxo bem estruturado. O adversário inicia consultando plataformas abertas como **Shodan** (`shodan.io`), **Censys** (`censys.io`), **ZoomEye** (`zoomeye.org`) e **FOFA** (`fofa.info`) - sendo as duas últimas particularmente populares entre grupos de ameaça de origem chinesa. Essas ferramentas oferecem APIs programáticas que permitem buscas em massa e automatizadas. As consultas típicas incluem filtros por organização (`org:"Empresa Alvo"`), por intervalo de ASN ou CIDR, por produto ou tecnologia (`product:"Apache Tomcat" version:"9.0.0"`), por certificado TLS (útil para descobrir subdomínios e infraestrutura relacionada), e por tipo de dispositivo ou sistema operacional. O resultado é uma lista detalhada de ativos expostos com metadados ricos. A partir desses dados, o adversário consegue identificar: - **Serviços vulneráveis**: versões específicas de software com CVEs conhecidos (ex: Exchange, Confluence, Fortinet) - **Superfície de ataque de fornecedores**: sistemas de terceiros com acesso privilegiado à rede do alvo, relevante para ataques de [[t1199-trusted-relationship|Trusted Relationship]] - **Infraestrutura de acesso remoto**: VPNs, RDP, Citrix, WebVPN - alvos prioritários para [[t1133-external-remote-services|External Remote Services]] - **Painéis de gerenciamento**: interfaces web expostas sem autenticação adequada - **Certificados e nomes alternativos (SANs)**: revelam subdomínios e infraestrutura interna inadvertidamente exposta Esse mapeamento alimenta diretamente técnicas subsequentes como [[t1595-active-scanning|Active Scanning]] (para válidar achados), [[t1190-exploit-public-facing-application|Exploit Public-Facing Application]] (para exploração direta) e [[t1588-obtain-capabilities|Obtain Capabilities]] (para adquirir exploits adequados aos sistemas identificados). ## Attack Flow ```mermaid graph TB A["Identificação do Alvo<br/>Organização / ASN / CIDR"] --> B["Consulta a Scan Databases<br/>Shodan · Censys · ZoomEye · FOFA"] B --> C["Coleta de Metadados<br/>Portas · Banners · Certificados · Versões"] C --> D["Análise da Superfície de Ataque<br/>Serviços expostos · Versões vulneráveis"] D --> E["Identificação de Oportunidades<br/>CVEs aplicáveis · Acesso remoto · Terceiros"] E --> F1["Reconhecimento Adicional<br/>Active Scanning"] E --> F2["Exploração Direta<br/>Exploit Public-Facing App"] E --> F3["Ataque via Fornecedor<br/>Trusted Relationship"] ``` ## Exemplos de Uso ### APT41 - Operações de Espionagem e Crime Financeiro O [[g0096-apt41|APT41]] (também conhecido como Winnti, Barium, Double Dragon) utiliza scan databases extensivamente em suas operações de dupla motivação - espionagem estatal e crime financeiro. Em campanhas documentadas entre 2019 e 2022, o grupo utilizou Shodan e ZoomEye para identificar instâncias vulneráveis de Citrix NetScaler (CVE-2019-19781), sistemas Cisco (CVE-2019-15271) e aplicações Zoho ManageEngine antes de lançar exploração em massa. A velocidade com que o APT41 explorou essas vulnerabilidades - muitas vezes horas após a divulgação pública - sugere pipelines automatizados que consultam scan databases em tempo real. ### Volt Typhoon - Pré-posicionamento em Infraestrutura Crítica O [[g1017-volt-typhoon|Volt Typhoon]], grupo de ameaça persistente avançada atribuído à China, utilizou scan databases para mapear infraestrutura crítica dos Estados Unidos e seus aliados, incluindo portos, utilidades de energia e sistemas de telecomúnicações. O grupo buscava específicamente dispositivos SOHO (Small Office/Home Office) como roteadores Cisco, NETGEAR e Fortinet com credenciais padrão ou vulnerabilidades conhecidas, que seriam usados como proxy para encobrir a origem dos ataques. Essa técnica de "living off the land" combinada com reconhecimento via scan databases é uma assinatura característica do grupo. ### Grupos de Ransomware - Reconhecimento em Escala Grupos de ransomware como [[lockbit|LockBit]] e [[cl0p|Cl0p]] utilizam scan databases para identificar alvos em massa com base em tecnologias específicas. A exploração massiva do MOVEit Transfer (CVE-2023-34362) pelo Cl0p em 2023 foi precedida por varreduras sistemáticas no Shodan para identificar todas as instâncias expostas públicamente, permitindo ao grupo comprometer centenas de organizações em questão de dias. ## Detecção A detecção desta técnica é intrinsecamente difícil porque o adversário não interage com a infraestrutura da vítima. As estrategias de detecção focam em monitoramento de sua própria presença nessas plataformas e na identificação de exploração subsequente. ```yaml title: Consulta a Scan Databases Identificada via Threat Intelligence status: experimental description: | Detecta quando ativos da organização aparecem em novos scans do Shodan/Censys, ou quando IPs conhecidos de operadores dessas plataformas acessam sistemas internos. Requer integração com feeds de threat intelligence e APIs das plataformas de scan. logsource: category: network_connection product: firewall detection: selection_scan_platforms: dst_ip: - '198.20.69.74' # Shodan scanner range - '198.20.70.114' - '198.20.99.130' - '198.20.99.194' - '66.240.192.138' # Censys scanner range - '66.240.236.119' - '141.212.122.0/23' # ZoomEye range selection_context: dst_port: - 22 - 80 - 443 - 3389 - 8080 - 8443 condition: selection_scan_platforms and selection_context level: informational tags: - attack.reconnaissance - attack.t1596.005 falsepositives: - Varreduras legítimas de segurança contratadas - Pesquisadores de segurança usando essas plataformas ``` ### Abordagem Proativa - Monitoramento de Exposição A detecção mais eficaz é **proativa**: a organização deve monitorar sua própria presença em scan databases: - Configurar alertas no Shodan Monitor para novos resultados referentes ao ASN/CIDR da organização - Utilizar a API do Censys para auditar regularmente ativos expostos - Implementar programas de gerenciamento de superfície de ataque (ASM) como Tenable ASM, CrowdStrike Falcon Surface ou Palo Alto Cortex Xpanse ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | Técnica ocorre fora do ambiente controlado. Foco em reduzir a superfície de ataque e monitorar exposição proativamente. | ### Controles Adicionais Recomendados | Controle | Descrição | |----------|-----------| | Gerenciamento de Superfície de Ataque | Implementar solução ASM para inventário contínuo de ativos expostos | | Minimização de Exposição | Remover da internet serviços desnecessários; usar VPN/Zero Trust para acesso remoto | | Segmentação de Rede | Limitar o que é exposto diretamente à internet, incluindo sistemas de fornecedores | | Gestão de Patches | Priorizar atualizações em sistemas com serviços expostos públicamente | | Monitoramento de Inteligência | Assinar alertas do Shodan Monitor e serviços similares para o ASN da organização | ## Contexto Brasil/LATAM O Brasil figura consistentemente entre os países com maior número de dispositivos indexados em plataformas de scan como Shodan e Censys na América Latina. Levantamentos recentes identificam centenas de milhares de sistemas brasileiros expostos, incluindo roteadores domésticos com interfaces de gerenciamento acessíveis, sistemas SCADA e ICS de infraestrutura crítica (energia elétrica, saneamento, petróleo e gás), câmeras IP com credenciais padrão, bancos de dados MongoDB, Elasticsearch e Redis sem autenticação, e painéis administrativos de equipamentos de rede de fabricantes populares na região. O setor financeiro brasileiro - incluindo os maiores bancos da América Latina - é um alvo de alto valor. Grupos como [[g0096-apt41|APT41]] e operadores de ransomware têm interesse especial em infraestrutura financeira brasileira dada a escala do sistema de pagamentos Pix e a ampla adoção de internet banking. A cadeia de fornecimento de TI no Brasil também representa risco significativo: empresas de tecnologia que prestam serviços a múltiplos clientes corporativos são alvos atraentes para comprometimento de [[t1199-trusted-relationship|relacionamentos de confiança]]. O CERT.br (`cert.br`) pública periodicamente relatórios sobre dispositivos brasileiros com serviços vulneráveis expostos, e a Anatel mantém monitoramento de infraestrutura crítica de telecomúnicações. Organizações brasileiras devem integrar essas fontes em seus programas de inteligência de ameaças. ## Referências **Técnicas Relacionadas:** - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] (técnica pai) - [[t1595-active-scanning|T1595 - Active Scanning]] (reconhecimento ativo subsequente) - [[t1583-001-domains|Domains]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] - [[t1587-develop-capabilities|T1587 - Develop Capabilities]] - [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] **Threat Actors:** - [[g0096-apt41|APT41]] - [[g1017-volt-typhoon|Volt Typhoon]] - [[lockbit|LockBit Ransomware]] - [[cl0p|Cl0p]] **Mitigações:** - [[m1056-pre-compromise|M1056 - Pre-compromise]] --- *Fonte: [MITRE ATT&CK - T1596.005](https://attack.mitre.org/techniques/T1596/005)*