No contexto de segurança ofensiva, o reconhecimento é o pilar que sustenta o sucesso de uma intrusão. O princípio fundamental é simples: quanto maior o volume de informações coletadas sobre a infraestrutura e os colaboradores de uma organização, mais precisos e discretos serão os vetores de ataque. Em um cenário real de Red Team, a fase inicial geralmente começa com apenas o nome da empresa, exigindo um processo meticuloso de mapeamento da superfície de ataque.

Classificação das Técnicas de Reconhecimento

As atividades de coleta de informações são divididas em duas categorias principais, baseadas no nível de interação com o alvo:

1. Reconhecimento Passivo: Utiliza fontes de Inteligência de Fontes Abertas (OSINT) e dados mantidos por terceiros. O objetivo é obter informações sem enviar pacotes diretamente para os sistemas da vítima, minimizando as chances de detecção por sistemas de monitoramento (IDS/IPS).
2. Reconhecimento Ativo: Envolve a interação direta com os ativos do alvo. Isso inclui varreduras de portas, anumeração de serviços e testes de vulnerabilidades. Embora forneça dados mais precisos, o risco de gerar alertas de segurança é significativamente maior.

Utilitários de Linha de Comando para Coleta de Dados

Sistemas operacionais modernos possuem ferramentas integradas que são fundamentais para o estágio inicial de coleta de dados de rede e domínio.

Análise de Registros com WHOIS

O protocolo WHOIS permite consultar bancos de dados de registradores para obter detalhes sobre a propriedade de domínios, períodos de validade, contatos técnicos e servidores de nomes (DNS).

# Exemplo de consulta de domínio
$ whois alvo-operacional.com.br
Domain Name: alvo-operacional.com.br
Registry Domain ID: 987654321_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.exemplo-registrar.com
Creation Date: 2022-05-10T10:00:00Z
Registrant Organization: Empresa de Tecnologia Ltda
Name Server: ns1.provedor-dns.com
Name Server: ns2.provedor-dns.com

Interrogando o DNS: dig e nslookup

A enumeração de DNS é vital para descobrir subdomínios e endereços IP. Ferramentas como dig e nslookup permitem extrair registros do tipo A (IPv4), AAAA (IPv6), MX (servidores de e-mail) e TXT (muitas vezes usados para verificação de serviços).

# Consultando registros A e MX com dig
$ dig alvo-operacional.com.br MX +short
10 mail.alvo-operacional.com.br.

# Buscando endereços IP de um subdomínio específico
$ nslookup dev.alvo-operacional.com.br
Non-authoritative answer:
Name:   dev.alvo-operacional.com.br
Address: 203.0.113.45

Dorking e Motores de Busca Especializados

O uso avançado de mecanismos de busca, conhecido como "Google Dorking", permite encontrar arquivos sensíveis e diretórios expostos que foram indexados involuntariamente.

• site:alvo.com filetype:pdf - Localiza documentos PDF da empresa.
• intitle:"index of" "backup" - Identifica diretórios de backup expostos.
• inurl:/phpinfo.php - Busca por páginas de configuração de servidor que revelam versões de software.

Além do Google, plataformas como Shodan e Censys funcionam como buscadores para dispositivos conectados à Internet, permitindo identificar banners de serviços, certificados SSL e portas abertas sem tocar na infraestrutura do alvo.

# Exemplo de busca rápida via CLI do Shodan
$ shodan host 203.0.113.45
City: São Paulo
Country: Brazil
Organization: Provedor de Nuvem XYZ
Ports: 22, 80, 443, 8080

Automação com Recon-ng

O Recon-ng é um framwork modular escrito em Python que agiliza o processo de OSINT. Ele organiza os dados em um banco de dados local e utiliza módulos para transformar um dado inicial (como um domínio) em múltiplos resultados (como contatos, hosts e subdomínios).

Fluxo de Trabalho Básico

# Iniciando o framework com um workspace dedicado
$ recon-ng -w auditoria_setembro

# Adicionando o domínio principal ao banco de dados
[recon-ng][auditoria_setembro] > db insert domains
domain (TEXT): alvo-corporativo.com

# Buscando e instalando um módulo de enumeração de hosts
[recon-ng][auditoria_setembro] > marketplace install hackertarget
[recon-ng][auditoria_setembro] > modules load recon/domains-hosts/hackertarget

# Executando a coleta
[recon-ng][auditoria_setembro][hackertarget] > run

Análise de Relacionamentos com Maltego

O Maltego é uma ferramenta de mineração de dados e análise de links que fornece uma interface gráfica para visualizar relacionamentos complexos. Ele utiliza o conceito de "Transforms" (Transformações) para converter uma entidade (ex: um endereço de e-mail) em outra (ex: redes sociais vinculadas ou contas em fóruns).

Em uma operação de Red Team, o Maltego é utilizado para mapear a hierarquia organizacional a partir de nomes encontrados em metadados de documentos ou perfis no LinkedIn, facilitando a criação de campanhas de Phishing direcionado (Spear Phishing).

Coleta em Redes Sociais e Vagas de Emprego

Informações valiosas muitas vezes não estão em servidores, mas em postagens de colaboradores.

• LinkedIn: Identfiica a estrutura de cargos e as tecnologias utilizadas (através das competências dos funcionários).
• Portais de Emprego: Descrições de vagas para "Analista de Redes" frequentemente listam versões específicas de firewalls, roteadores e sistemas operacionais utilizados pela empresa, revelando a stack tecnológica interna.

O encadeamento dessas técnicas permite que o Red Teamer construa um perfil detalhado do alvo, transformando dados públicos em inteligência acionável para as fases de exploração e pós-exploração.