# T1596 - Search Open Technical Databases > [!info] MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1596 · **Plataforma:** PRE > **Sub-técnicas:** T1596.001 (DNS), T1596.002 (WHOIS), T1596.003 (Certificados), T1596.004 (CDNs), T1596.005 (Scan Databases) ## Descrição Adversários consultam **bancos de dados técnicos de acesso público** para coletar informações sobre a infraestrutura da organização-alvo antes de iniciar qualquer ataque. Esses repositórios de dados - criados originalmente para fins legítimos de administração de internet - expõem involuntariamente detalhes valiosos sobre a superfície de ataque de qualquer organização conectada à internet. Diferente de técnicas ativas como [[t1595-active-scanning|Active Scanning]], a pesquisa em bases técnicas abertas é inteiramente **passiva** - o adversário nunca interage diretamente com os sistemas da vítima, tornando-a práticamente indetectável pelos controles de segurança tradicionais. Os dados estão lá, públicos, esperando para serem consultados. As informações obtidas formam um quadro técnico detalhado da organização: quais domínios e subdomínios existem, quais IPs e faixas de endereço são de sua propriedade, quais certificados TLS estão ativos e para quais hosts, quais tecnologias de CDN e serviços de terceiros estão em uso, e qual é o histórico de mudanças de infraestrutura ao longo do tempo. Esse mapa técnico alimenta diretamente o planejamento de ataques subsequentes: identificação de pontos de entrada via [[t1133-external-remote-services|External Remote Services]], comprometimento de infraestrutura adjacente via [[t1584-compromise-infrastructure|Compromise Infrastructure]], e análise de certificados para identificar serviços internos inadvertidamente expostos. A técnica é especialmente poderosa porque a superfície de exposição técnica de uma organização frequentemente **cresce mais rápido do que a equipe de segurança consegue rastrear** - shadow IT, certificados de desenvolvimento, subdomínios esquecidos e serviços de terceiros criam uma pegada digital complexa que adversários sistemáticos exploram integralmente. --- ## Como Funciona ### Sub-técnicas e Fontes de Dados **T1596.001 - DNS/Passive DNS** Consultas a repositórios de DNS passivo (pDNS) revelam subdomínios históricos e atuais, mudanças de resolução de IP ao longo do tempo, e infraestrutura de staging/desenvolvimento frequentemente menos protegida que a produção. Ferramentas: SecurityTrails, PassiveTotal (RiskIQ), DNSDB, Shodan. **T1596.002 - WHOIS** Registros WHOIS de domínios expõem: registrante (nome, organização, e-mail), nameservers, datas de registro e expiração, e registrar. Dados históricos do WHOIS (antes do GDPR/LGPD) frequentemente contêm e-mails e nomes de funcionários. Mesmo com dados anonimizados, padrões de registro revelam portfólios de domínios relacionados. **T1596.003 - Certificados Digitais** Bancos de dados de Certificaté Transparency (CT) logs - como crt.sh, Censys e CertStream - registram TODOS os certificados TLS emitidos publicamente. Isso expõe subdomínios internos, ambientes de staging, sistemas de parceiros e serviços de terceiros que a organização integra, mesmo que não estejam em qualquer DNS público. Adversários consultam CT logs em tempo real para detectar novos serviços sendo implantados. **T1596.004 - CDNs** Registros de CDNs (Cloudflare, Akamai, Fastly, AWS CloudFront) revelam a infraestrutura real de entrega de conteúdo, às vezes expondo IPs de origem que deveriam estar ocultos atrás do CDN - criando vetores de bypass das proteções do CDN. **T1596.005 - Bancos de Dados de Scan** Plataformas como Shodan, Censys e FOFA realizam scans globais contínuos da internet e indexam bancos de dados de serviços expostos, portas abertas, banners de serviço, versões de software e vulnerabilidades conhecidas. Um adversário pode encontrar serviços vulneráveis da organização-alvo sem nunca enviar um único pacote diretamente a ela. --- ## Attack Flow ```mermaid graph TB A["🎯 Alvo Definido<br/>Domínio principal e<br/>organização identificados"] --> B["🌐 WHOIS & DNS<br/>Portfólio de domínios,<br/>subdomínios, IPs registrados"] B --> C["🔒 Certificaté Transparency<br/>crt.sh, Censys - todos<br/>os certificados ativos"] C --> D["📡 Shodan/Censys Scan DB<br/>Serviços expostos, versões,<br/>banners de software"] D --> E["🗺️ Mapa de Infraestrutura<br/>Subdomínios, IPs, serviços,<br/>tecnologias, versões"] E --> F{"🔍 Análise de Vetores<br/>O que está vulnerável<br/>ou mal configurado?"} F --> G["⚠️ Serviços Legados<br/>Versões desatualizadas,<br/>CVEs conhecidos"] F --> H["🔓 Shadow IT<br/>Subdomínios de staging,<br/>serviços esquecidos"] F --> I["🌍 Bypass de CDN<br/>IPs de origem expostos<br/>em DNS histórico"] G --> J["🚀 Exploração Direcionada<br/>Ataque baseado em<br/>infraestrutura mapeada"] H --> J I --> J ``` --- ## Exemplos de Uso ### APT28 - Reconhecimento via CT Logs e WHOIS O [[g0007-apt28|APT28]] (Fancy Bear), grupo de espionagem com nexo russo vinculado ao GRU, é conhecido por utilizar pesquisa extensiva em bases técnicas públicas na fase de reconhecimento de campanhas contra governos, defesa e organizações internacionais. Em campanhas documentadas contra organizações europeias e da OTAN, o grupo utilizou dados de Certificaté Transparency para identificar subdomínios de Outlook Web Access e portais VPN, alvejando específicamente serviços de acesso remoto para ataques de credential stuffing e exploração de vulnerabilidades como [[t1190-exploit-public-facing-application|Exploit Public-Facing Application]]. ### Kimsuky - Mapeamento de Infraestrutura de Universidades O [[g0094-kimsuky|Kimsuky]], ator norte-coreano especializado em espionagem contra think tanks, academia e governo sul-coreano, utilizou extensivamente Shodan e DNS passivo para mapear a infraestrutura técnica de universidades e centros de pesquisa antes de campanhas de phishing. O grupo identificou servidores de e-mail legados, portais de VPN desatualizados e sistemas de videoconferência expostos que serviam como pontos de entrada iniciais. ### Caso Prático - Exposição via CT Logs Um exemplo recorrente no LATAM: organizações expõem subdomínios como `dev.empresa.com.br`, `staging-api.empresa.com.br` ou `vpn-old.empresa.com.br` nos CT logs ao emitir certificados TLS para ambientes de desenvolvimento. Esses subdomínios raramente recebem o mesmo rigor de segurança que a produção, mas são igualmente visíveis para adversários que monitoram CT logs em tempo real via ferramentas como CertStream. --- ## Detecção A detecção de T1596 é desafiadora pois o adversário nunca interage com a infraestrutura da vítima. A estratégia de defesa é **conhecer sua própria pegada digital** melhor do que os adversários. ### Sigma Rule - Monitoramento de Consultas a Bases Técnicas ```yaml title: Enumeração Suspeita de Subdomínios via CT Logs Externos status: experimental description: > Detecta padrões de consulta em lote a serviços de Certificaté Transparency ou Shodan originados de fontes não corporativas, sugerindo reconhecimento externo. NOTA: Esta regra monitora o próprio uso da organização de ferramentas de OSINT para detectar quando adversários podem ter os mesmos dados. logsource: category: proxy product: web detection: selection_ct: url|contains: - "crt.sh" - "censys.io" - "shodan.io" - "securitytrails.com" - "passivetotal.org" query_param|contains: - '%ORGANIZATION_DOMAIN%' condition: selection_ct level: low tags: - attack.reconnaissance - attack.t1596 - attack.t1596.003 - attack.t1596.005 falsepositives: - Equipe de segurança interna realizando footprinting defensivo - Red team interno ``` ### Estrategia de Detecção Defensiva - OSINT Próprio | Ferramenta | Uso Defensivo | Frequência | |------------|--------------|------------| | crt.sh | Auditar todos os certificados emitidos para seus domínios | Diária | | Shodan Monitor | Alertar sobre novos serviços expostos em seus IPs | Contínua | | SecurityTrails | Monitorar mudanças de DNS e novos subdomínios | Semanal | | Google Dorking | Verificar o que está indexado inadvertidamente | Mensal | | WHOIS History | Auditar domínios similares ao seu (typosquatting) | Mensal | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1056 | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Reduzir a superfície de exposição técnica. Desativar serviços não utilizados, remover subdomínios obsoletos, usar certificados wildcard ou internos para ambientes de desenvolvimento, e monitorar ativamente a própria pegada digital em bases técnicas públicas. | ### Controles Técnicos Adicionais **Gestão de Subdomínios e DNS** - Manter inventário completo e atualizado de todos os subdomínios - Remover imediatamente registros DNS de serviços desativados (previne subdomain takeover) - Usar zonas DNS privadas para ambientes de desenvolvimento e staging - Monitorar CT logs em tempo real para detectar certificados não autorizados emitidos para seus domínios **Certificados TLS** - Evitar emitir certificados públicos para subdomínios internos; usar CA interna (Private CA) - Implementar CAA (Certification Authority Authorization) records para limitar quais CAs podem emitir certificados para seus domínios - Monitorar rotação de certificados e expiração proativamente **Redução de Exposição em Shodan/Censys** - Auditar regularmente quais serviços seus IPs expõem à internet - Implementar firewall de borda rigoroso - apenas portas necessárias devem estar acessíveis - Usar CDN/WAF para ocultar IPs de origem de servidores web --- ## Sub-técnicas - [[dc0096-passive-dns|Passive DNS]] - [[t1596-002-whois|T1596.002 - WHOIS]] - [[t1596-003-digital-certificates|T1596.003 - Digital Certificates]] - [[t1596-004-cdns|T1596.004 - CDNs]] - [[t1596-005-scan-databases|T1596.005 - Scan Databases]] ## Contexto Brasil/LATAM No Brasil, a técnica T1596 é especialmente relevante dado o crescimento acelerado da digitalização empresarial sem maturidade equivalente em segurança. Vários padrões são observados regionalmente: **Exposição de Sistemas Legados em Shodan** É comum encontrar no Shodan sistemas bancários, industriais (SCADA/ICS) e de saúde brasileiros com banners expondo versões de software desatualizadas, às vezes com vulnerabilidades críticas conhecidas. Grupos de ransomware como [[t1190-exploit-public-facing-application|exploradores de aplicações públicas]] frequentemente usam Shodan para encontrar instâncias vulneráveis de Fortinet, Pulse Secure e Citrix no Brasil antes de deflagrar campanhas. **Subdomínios Abandonados - Subdomain Takeover** O Brasil registra cases frequentes de subdomínios abandonados que podem ser assumidos por terceiros (subdomain takeover). Empresas que migraram para cloud muitas vezes deixam registros CNAME apontando para serviços AWS/Azure/GCP desativados, permitindo que adversários registrem o serviço e assumam o subdomínio. **Certificaté Transparency como Alvo de Monitoramento** Grupos de inteligência de ameaças e pesquisadores de segurança no Brasil têm documentado adversários monitorando CT logs em tempo real por novos certificados emitidos para domínios de grandes bancos, fintechs e instituições governamentais - especialmente durante aquisições, lançamentos de produtos e expansões de infraestrutura, quando novos subdomínios proliferam rapidamente. **LGPD e Exposição de Dados em WHOIS** Com a entrada em vigor da LGPD, dados de WHOIS de domínios .com.br passaram por anonimização parcial no Registro.br. Porém, domínios .com e domínios registrados antes da lei ainda expõem dados pessoais de contatos técnicos e administrativos. **Recomendação para Organizações Brasileiras** - Registrar seus domínios no Shodan Monitor e Censys Alerts para notificação de novas exposições - Auditar CT logs mensalmente usando crt.sh ou ferramentas automatizadas - Implementar CAA records em todos os domínios críticos --- ## Referências - [MITRE ATT&CK - T1596](https://attack.mitre.org/techniques/T1596) - [Certificaté Transparency - crt.sh](https://crt.sh) - [Shodan - Internet Intelligence](https://www.shodan.io) - [Censys Search](https://search.censys.io) - [SecurityTrails - DNS History](https://securitytrails.com) - [APT28 - MITRE Profile](https://attack.mitre.org/groups/G0007/) - [Kimsuky - MITRE Profile](https://attack.mitre.org/groups/G0094/) - [CISA - Known Exploited Vulnerabilities](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) --- *Fonte: [MITRE ATT&CK - T1596](https://attack.mitre.org/techniques/T1596)*