# T1588.006 - Vulnerabilities ## Descrição Adversários adquirem informações sobre vulnerabilidades de software e hardware para utilizá-las em operações ofensivas. Uma vulnerabilidade é uma fraqueza em sistemas que pode ser explorada para causar comportamentos não intencionais - acesso não autorizado, execução de código, escalada de privilégios ou negação de serviço. No contexto Brasil/LATAM, essa técnica é especialmente relevante porque grupos como [[g0034-sandworm|Sandworm Team]] e [[g1017-volt-typhoon|Volt Typhoon]] monitoram ativamente bancos de dados públicos - como o NVD (NIST) e o [[cisa-kev|CISA KEV]] - para identificar vulnerabilidades recém-divulgadas antes que as organizações-alvo apliquem patches. O intervalo entre a divulgação pública de uma CVE e a efetiva correção nas empresas brasileiras costuma ser superior a 30 dias, criando uma jánela de exploração crítica. Adversários podem obter informações sobre vulnerabilidades de diversas formas: - **Monitoramento de bases abertas:** NVD, CVEDetails, Exploit-DB, listas de discussão como oss-security - **Acesso a bancos de dados fechados:** programas de bug bounty privados, zero-day brokers, mercados darkweb - **Pesquisa própria:** reversão de patches (patch diffing), fuzzing, análise estática de binários - **Espionagem de pesquisadores:** comprometimento de sistemas de empresas que fazem pesquisa de vulnerabilidades O conhecimento de uma vulnerabilidade leva o adversário a buscar um exploit existente (ver [[t1588-005-exploits|T1588.005 - Exploits]]) ou a desenvolver um internamente (ver [[t1587-004-exploits|T1587.004 - Exploits]]). Em campanhas direcionadas ao setor financeiro brasileiro, grupos como [[g1053-storm-0501|Storm-0501]] combinam esta técnica com [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] para comprometer VPNs e gateways expostos à internet. > **Técnica pai:** [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Monitora NVD / CISA KEV] B --> C{Vulnerabilidade\nidentificada} C -->|Zero-day| D[Acessa broker<br/>ou darkweb] C -->|N-day pública| E[Baixa PoC<br/>público] D --> F[Compra exploit<br/>ou info exclusiva] E --> G[Adapta exploit<br/>para alvo] F --> H G --> H(["T1588.005<br/>Exploits"]) H --> I(["T1190<br/>Exploit Public-Facing"]) H --> J(["T1587.004<br/>Desenvolver Exploit"]) style C fill:#e74c3c,color:#fff style H fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Coleta de informações sobre vulnerabilidades** O adversário monitora fontes públicas (NVD, CISA KEV, advisories de vendors como [[_cisco|Cisco]], [[_fortinet|Fortinet]], [[_microsoft|Microsoft]]) e privadas (zero-day brokers, fóruns fechados) para identificar vulnerabilidades em sistemas utilizados pelos alvos pretendidos. Ferramentas como Shodan e Censys são usadas para correlacionar vulnerabilidades com ativos expostos. **Passo 2 - Priorização e válidação** O adversário filtra vulnerabilidades por criticidade (CVSS ≥ 9.0), disponibilidade de exploit público, presença no [[cisa-kev|CISA KEV]] e relevância para o setor-alvo. No Brasil, sistemas de VPN da [[_fortinet|Fortinet]] e portais de acesso remoto [[_ivanti|Ivanti]] têm sido alvos frequentes nesta etapa. **Passo 3 - Integração ao arsenal ofensivo** A vulnerabilidade é vinculada a um exploit (obtido via [[t1588-005-exploits|T1588.005]] ou desenvolvido via [[t1587-004-exploits|T1587.004]]) e inserida no plano de ataque. O grupo pode aguardar o momento ideal - como durante recessos corporativos ou feriados - para maximizar o tempo de presença antes da detecção. --- ## Detecção > Esta técnica ocorre majoritariamente fora do perímetro defensivo (fase PRE-ATT&CK). A detecção direta é limitada, mas indicadores indiretos são rastreáveis. ### Event IDs relevantes (Windows) | Event ID | Fonte | Relevância | |----------|-------|------------| | 4688 | Security | Criação de processos - uso de ferramentas de enumeração pós-exploração | | 7045 | System | Novo serviço instalado - indicador de exploit bem-sucedido | | 4625 | Security | Falhas de logon - tentativas de exploração de credenciais via vuln | | 1102 | Security | Log de auditoria limpo - pós-exploração cobrindo rastros | ### Sigma Rule - Monitoramento de Acesso a CVE Databases ```yaml title: Suspicious CVE Database Access from Corporaté Network id: a7f3d2c1-4e8b-4f2a-9c1d-3b6e7f8a9d0e status: experimental description: > Detecta acesso a bases de dados de vulnerabilidades (NVD, Exploit-DB, CVEDetails) a partir de servidores ou workstations administrativas - pode indicar reconhecimento interno ou adversário usando infraestrutura comprometida para pesquisa. author: RunkIntel daté: 2026-03-24 logsource: category: proxy product: generic detection: selection: cs-uri-host|contains: - 'nvd.nist.gov' - 'www.exploit-db.com' - 'cvedetails.com' - 'vulhub.org' - 'packetstormsecurity.com' filter_legit: cs-username|contains: - 'security-team' - 'vuln-mgmt' condition: selection and not filter_legit fields: - cs-username - cs-uri-host - c-ip falsepositives: - Pesquisadores de segurança internos - Times de gestão de vulnerabilidades level: low tags: - attack.resource-development - attack.t1588.006 ``` --- ## Mitigação | ID | Mitigação | Aplicação para Organizações Brasileiras | |----|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Pré-comprometimento | Implementar programa formal de gestão de vulnerabilidades (VM) alinhado ao BACEN/LGPD; priorizar [[cisa-kev\|CISA KEV]] como baseline de patches críticos | | - | Patch Management Acelerado | Reduzir jánela de exposição pós-divulgação para menos de 15 dias em ativos críticos; monitorar listas como `oss-security` e advisories de vendors | | - | Exposure Monitoring | Usar ferramentas como Shodan/Censys internamente para identificar ativos expostos com vulnerabilidades conhecidas antes que o adversário o faça | | - | Threat Intelligence Feeds | Assinar feeds como [[cisa-kev\|CISA KEV]], NVD e Exploit-DB Alerts para detecção antecipada de CVEs direcionadas ao seu stack tecnológico | | - | Vulnerability Disclosure Program | Incentivar pesquisadores a reportar vulnerabilidades internamente via VDP/bug bounty - reduz jánela de zero-day sem aviso | --- ## Threat Actors que Usam ### [[g0034-sandworm|Sandworm Team]] Grupo de espionagem e sabotagem ligado ao GRU russo. Monitora ativamente o ciclo de divulgação de vulnerabilidades em sistemas ICS/SCADA e VPNs corporativas. Explorou CVEs do [[_fortinet|Fortinet]] e [[_ivanti|Ivanti]] em operações contra infraestruturas críticas. Embora sem alvo direto no Brasil, opera contra países aliados e setor energético global. ### [[g1017-volt-typhoon|Volt Typhoon]] Grupo chinês focado em espionagem de infraestrutura crítica. Especializado em explorar vulnerabilidades N-day em equipamentos de borda (roteadores, firewalls, VPNs). Identificado explorando CVEs da [[_cisco|Cisco]], [[_fortinet|Fortinet]] e [[_ivanti|Ivanti]] para estabelecer acesso persistente em redes de energia e telecomúnicações - setores presentes no Brasil. ### [[g1053-storm-0501|Storm-0501]] Grupo de ransomware-as-a-service identificado explorando vulnerabilidades em soluções de gerenciamento de arquivos e backup. Combina esta técnica com [[t1190-exploit-public-facing-application|T1190]] para comprometer portais expostos. Campanhas recentes focaram na América do Norte e Europa, com potencial de expansão para LATAM dado o perfil de vitimologia. --- *Fonte: [MITRE ATT&CK - T1588.006](https://attack.mitre.org/techniques/T1588/006)*