2026-04-30 00:00
← VoltarUma visão técnica das primeiras 24 horas: a rapidez com que os invasores enumeram e atacam ativos recentemente expostos Escrito por Topher Lyons – Sprocket Security No momento em que um novo ativo obtém um endereço IP público, um relógio começa. Não é lento. Implacável e automatizado. A diferença entre “isto acabou de ser publicado” e “isto está sendo investigado ativamente” é de minutos, não de dias. Isso não é teórico. Com a ajuda do nosso ASM Community Edition, é isso que a Sprocket Security vê continuamente nos ambientes dos clientes, e é exatamente com isso que os invasores contam: sua equipe não saberá que algo está exposto até que seja tarde demais. As primeiras 24 horas: um cronograma técnico T+0: O ativo entra em operação. Um desenvolvedor envia uma nova instância de nuvem.
Uma regra de firewall mal configurada abre uma porta. Um portal de fornecedor é criado em um subdomínio que ninguém sinalizou. Seja qual for a causa, agora existe um novo endpoint roteável pela Internet e a segurança não recebe notificação. T+5 a T+60 minutos: Os scanners encontram. A infraestrutura de digitalização automatizada varre toda a Internet pública constantemente. Shodan, Censys, ShadowServer e outros indexam novos hosts continuamente (somente o Censys cobre dezenas de milhares de portas). Dentro de uma hora, seu ativo tem suas portas abertas catalogadas, informações de banner coletadas (versão do servidor web, certificado TLS, impressão digital SSH) e assinaturas de resposta...
Uma visão técnica das primeiras 24 horas: a rapidez com que os invasores enumeram e atacam ativos recentemente expostos Escrito por Topher Lyons – Sprocket Security No momento em que um novo ativo obtém um endereço IP público, um relógio começa. Não é lento. Implacável e automatizado. A diferença entre “isto acabou de ser publicado” e “isto está sendo investigado ativamente” é de minutos, não de dias. Isso não é teórico. Com a ajuda do nosso ASM Community Edition, é isso que a Sprocket Security vê continuamente nos ambientes dos clientes, e é exatamente com isso que os invasores contam: sua equipe não saberá que algo está exposto até que seja tarde demais. As primeiras 24 horas: um cronograma técnico T+0: O ativo entra em operação. Um desenvolvedor envia uma nova instância de nuvem.
Uma regra de firewall mal configurada abre uma porta. Um portal de fornecedor é criado em um subdomínio que ninguém sinalizou. Seja qual for a causa, agora existe um novo endpoint roteável pela Internet e a segurança não recebe notificação. T+5 a T+60 minutos: Os scanners encontram. A infraestrutura de digitalização automatizada varre toda a Internet pública constantemente. Shodan, Censys, ShadowServer e outros indexam novos hosts continuamente (somente o Censys cobre dezenas de milhares de portas). Dentro de uma hora, seu ativo tem suas portas abertas catalogadas, informações de banner coletadas (versão do servidor web, certificado TLS, impressão digital SSH) e assinaturas de resposta comparadas com bancos de dados de vulnerabilidades conhecidas. T+1 a T+6 horas: Início da enumeração.
Agora seu ativo aparece nas consultas Shodan e Censys. As ferramentas de ataque automatizado iniciam sua própria passagem de reconhecimento: procurando versões de serviço, portas de gerenciamento abertas (RDP em 3389, SSH em 22, painéis de administração em 8080/8443) e certificados TLS que giram para domínios e subdomínios relacionados. Se o seu novo ativo tiver um certificado, os invasores poderão aprender muito sobre sua infraestrutura mais ampla sem nunca tocar em algo que você estava observando. T+6 a T+12 horas: Sondagem ativa. A descoberta passiva muda para a segmentação ativa. Os dados do GreyNoise mostram picos de atividade do scanner nesta janela. O preenchimento de credenciais começa contra SSH e RDP. Os serviços da Web começam a ser atingidos pela força bruta de diretório.
Bancos de dados como Elasticsearch e Redis são investigados quanto a acesso não autenticado. As estruturas são testadas em relação a CVEs conhecidos. Nada disso precisa de um humano para começar. As botnets lidam com isso em grande escala, 24 horas por dia. T+12 a T+24 horas: Compromisso. Os pesquisadores da Unidade 42 implantaram 320 honeypots em provedores de nuvem (RDP, SSH, SMB, Postgres) para ver o que aconteceria. 80% foram comprometidos em 24 horas. Para qualquer coisa executada com vulnerabilidades exploráveis, configurações incorretas ou credenciais padrão, isso é tudo o que é necessário para passar de “isso acabou de ser lançado” para “isso já pertence”.
Veja o seu ataque revelando a maneira como os invasores fazem O Sprocket Security ASM Community Edition encontra o que os invasores estão procurando (APIs ocultas, subdomínios esquecidos, serviços mal configurados) antes de encontrá-lo primeiro. Obtenha visibilidade contínua da superfície de ataque externo, gratuitamente. Obtenha visibilidade do ASM Exemplo do mundo real: a API oculta que ninguém sabia que existia A linha do tempo acima pressupõe que você saiba o que está exposto. Algumas das exposições mais perigosas são ativos que sua equipe não tem ideia de que sejam públicos, e o caminho para encontrá-los é exatamente o que os invasores usam. Com uma descoberta recente, o ASM sinalizou um aplicativo web de logística voltado ao público e, como parte da enumeração de URL, baixou e analisou o pacote JavaScript compilado que estava sendo servido aos navegadores. Enterrado naquele arquivo JS estava uma referência a uma API de back-end. Não em nenhum inventário de ativos. Não é algo que alguém expôs explicitamente.
Mas ao vivo, público e totalmente aberto. Os testadores humanos executaram a mesma solicitação que um invasor faria: curl -s 'https://logisticsapi.[redacted].com/Logistics/api/customernotes/2631' | jq O servidor respondeu. Sem token, sem credenciais. Ao iterar por meio de IDs de endpoint, os testadores obtiveram: Nomes de clientes, endereços de e-mail e notas de conta Credenciais de texto simples para contas de clientes Nomes de usuário e senhas de dispositivos padrão Informações de rede interna para dispositivos implantados Nomes de funcionários e endereços de e-mail O texto completo a cadeia do site público à análise JS, à API oculta e ao despejo de dados não autenticados reflete exatamente o que as ferramentas do invasor fazem durante a enumeração. A diferença aqui foi que a Sprocket Security chegou primeiro. O problema agravado: você não sabe o que tem A pesquisa de superfície de ataque da Unidade 42 descobriu que a superfície de ataque externa de uma organização média muda em mais de 300 novos serviços todos os meses. Mais de 20% dos serviços em nuvem acessíveis externamente são entregues mensalmente. As equipes de segurança não estão acompanhando.
A causa raiz da maioria das investigações de violação remonta a uma variação da mesma afirmação: “Não sabíamos que isso estava na Internet”. Um ativo que você não conhece é aquele que você não pode corrigir, monitorar ou colocar off-line quando as coisas dão errado. E como mostra o exemplo acima, muitas vezes não é algo que alguém implementou deliberadamente. É um serviço de back-end que foi referenciado em um arquivo JavaScript que ninguém pensou em ver. Da descoberta à validação: o caminho do ASM ao Pentesting Encontrar a API oculta é o primeiro passo. Descobrir o que é realmente explorável e qual é o real impacto nos negócios exige olhos humanos. Esse é o caminho em torno do qual o Sprocket Security foi construído. O ASM Community Edition enumera continuamente sua superfície de ataque externa: descobrindo ativos, extraindo pacotes JavaScript, mapeando subdomínios, revelando o que é realmente visível de fora de sua rede.
Quando algo inesperado aparece (uma API que não deveria ser pública, um painel de administração que ninguém sinalizou, um certificado incomum), isso alimenta diretamente os testes conduzidos por humanos. Foi exatamente assim que a descoberta do exemplo aconteceu. A enumeração do ASM trouxe à tona a referência do JavaScript. Os testadores humanos validaram o acesso não autenticado, mapearam os endpoints expostos e documentaram a exposição real dos dados com etapas de correção claras. Não é um alerta de scanner. Uma descoberta real. A descoberta contínua de ASM alimentando testes humanos direcionados é o que preenche a lacuna entre “achamos que nossa superfície de ataque é X” e “aqui está o que um invasor realmente vê”. Encontre seus ativos antes que os invasores o façam O problema das primeiras 24 horas não é resolvido com correções mais rápidas.
É resolvido sabendo o que você tem antes que os invasores o encontrem. O Sprocket ASM Community Edition oferece visibilidade contínua e gratuita da perspectiva do invasor em sua superfície de ataque externa. Veja o que está exposto, descubra o que você não sabia que era público e priorize o que realmente importa. O relógio já está correndo. Patrocinado e escrito por Sprocket Security.