Uma análise de honeypots web implantados durante o período de 1 a 16 de janeiro de 2026 revelou um panorama detalhado da atividade automatizada de varredura na internet. Os sensores, configurados como instâncias nginx simples, coletaram 71.768 requisições, expondo os alvos e táticas preferenciais dos scanners automatizados. Os dados oferecem uma “verdade fundamental” valiosa para a construção de hipóteses de caça, ajuste de detecções e priorização de hardening.
O Ritmo e a Origem do Ruído
A atividade de linha de base é consistente: aproximadamente 2.500 requisições diárias de 300 a 400 IPs únicos. No entanto, picos episódicos revelam operações coordenadas. Em 5 de janeiro, três redes /24 da AWS (13.59.55.0/24, 54.234.91.0/24, 54.175.183.0/24) causaram um aumento de 6x no volume. O pico mais dramático ocorreu em 7 de janeiro, com um único /24 (144.91.101.0/24, hospedado na Contabo) disparando 19.873 requisições em 24 horas, testando cerca de 20.000 caminhos de URI únicos a partir de um dicionário massivo de permutações. Este contraste evidencia a diferença entre o ruído ambiental distribuído e as varreduras metódicas e concentradas.
Os 10 Principais Alvos dos Scanners
A classificação das URIs em famílias de tecnologia revelou os vetores de ataque mais perseguidos:
1. Arquivos de Ambiente e Segredos (12.365 hits)
O alvo mais persistente, verificado todos os dias. Os caminhos incluíam /.env, /.env.ts, /.aws/credentials, /config.zip e /assets/credentials.json. A varredura massiva de 7 de janeiro incluiu 8.438 requisições apenas para permutações de caminhos de arquivos .env. Os dicionários evoluíram para incluir variantes modernas como .env.production e env.zip.
2. Arquivos de Aplicação e Cadeia de Suprimentos PHP (10.903 hits)
Foco em exploração de cadeia de suprimentos legada. O caminho /vendor/phpunit/phpunit/src/util/php/eval-stdin.php (e suas variantes) foi um dos mais consistentemente testados. Se acessível na web, permite execução remota de código (RCE). A família também inclui sondagens genéricas para extensões .php, .asp, .aspx e .jsp.
3. Enumeração de Arquivos de Backup e Artefatos de Configuração (6.500+ hits)
Impulsionada quase inteiramente pelo scanner de 7 de janeiro, que combinou sistematicamente prefixos como /api, /admin, /core e /backup com nomes de arquivos sensíveis e extensões de backup (.bak, .cfg, .conf, .old, .sql). Uma abordagem de permutação pura para encontrar backups de banco de dados ou arquivos de configuração publicados acidentalmente.
4. Descoberta de Superfície de Login e Autenticação (2.262 hits)
Mapeamento de endpoints de autenticação, incluindo caminhos genéricos (/login, /api/login) e específicos de produtos (/owa/auth/logon.aspx, /core/skin/login.aspx). Esta é uma fase de reconhecimento que precede ataques de credential stuffing.
5. Exposição de Repositório Git (686 hits)
Sondagens persistentes e de alto impacto para caminhos como /.git/config e /.git/index. Um acesso bem-sucedido pode permitir a reconstrução completa do repositório de código-fonte, incluindo segredos e configurações internas.
6. WordPress (551 hits)
Varreduras em ondas, focando em backups de arquivos de configuração (wp-config.php.bak) e caminhos de plugins conhecidamente vulneráveis, além dos caminhos de login tradicionais.
7. Leitura de Arquivos via Dev-Server Vite (/@fs/) (350 hits)
Um dos achados mais interessantes. O padrão /@fs/ visa vulnerabilidades de leitura de arquivo em servidores de desenvolvimento Vite (ex: CVE-2023-34092). Os scanners testavam especificamente caminhos como /@fs/etc/passwd?import= e /@fs/.docker.env?import= para colher credenciais ou escapar de containers.
8. Citrix Gateway (201 hits)
Sondagem de baixo volume para fingerprinting de appliances de perímetro, verificando caminhos como /+cscoe+/logon.html. A identificação é seguida por exploração de CVEs conhecidos.
9. Descoberta de Endpoints de API de IA/LLM (140 hits)
Uma adição relativamente nova aos dicionários de scanner, observada a partir de 8 de janeiro. Os caminhos testados incluíam /v1/chat/completions, /v1/messages e caminhos específicos do Azure OpenAI. APIs de LLM expostas representam risco financeiro (abuso de tokens) e potencial vetor de exfiltração de dados.
10. Superfícies de Gerenciamento (Volume de Fundo)
Varredura consistente, porém de baixo volume, para interfaces de gerenciamento expostas: Spring Boot Actuator (/actuator, /env), Docker Remote API (/containers/json), Tomcat Manager e GeoServer.
Evolução dos Dicionários de Scanner
A análise dia a dia mostrou que os operadores de scanner estão atualizando ativamente suas listas. A aparição de endpoints de LLM a partir de 8 de janeiro é particularmente notável, indicando que as ferramentas estão sendo adaptadas para refletir o panorama tecnológico atual, não apenas executando listas obsoletas.
Implicações para a Defesa
Ganhos Rápidos (Superfície de Ataque Externa)
- Bloqueie o acesso a dotfiles (
/.env,/.git/*,/.aws/*) na borda. - Negue extensões de backup (
.bak,.old,.cfg,.conf,.sql) em todos os caminhos acessíveis pela web. - Valide que diretórios
/vendor/não são acessíveis na web em implantações PHP.
Alvos para Engenharia de Detecção
- Requisições para
/@fs/com o parâmetro?import=(indicador específico de servidor de desenvolvimento Vite exposto). /v1/chat/completionsou/v1/messagesem hosts inesperados (infraestrutura de LLM exposta)./containers/json(verificação de exposição da API Remota do Docker)./actuator/gateway/routes(exposição de rotas do Spring Cloud Gateway).
Hipóteses de Caça (Hunt)
- Servidores de desenvolvimento internos (Vite, webpack-dev-server) estão acidentalmente vinculados a interfaces externas?
- Pipelines de CI/CD publicam diretórios
.env,.gitou/vendorpara raízes web de produção? - Proxies de API de LLM, endpoints de inferência ou servidores de desenvolvimento estão expostos sem autenticação?
- Serviços Spring Boot estão sendo executados com endpoints do Actuator expostos e não autenticados?
Análise baseada no “THOR Collective Dispatch: Vibe Coding The Holidays Away” (Jan 2026). Os honeypots consistiram em instâncias nginx que encaminharam logs para uma instância Loki centralizada, com uma pipeline de análise Python diária. O código do projeto está disponível publicamente. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário