s0677-aadinternals

# AADInternals > Tipo: **tool** · S0677 · [MITRE ATT&CK](https://attack.mitre.org/software/S0677) ## Descrição [[s0677-aadinternals|AADInternals]] é um framework baseado em PowerShell para administração, enumeração e exploração do Azure Active Directory (AAD/Entra ID). Desenvolvido pelo pesquisador de segurança Nestori Syynimaa, a ferramenta é disponibilizada públicamente no GitHub como um módulo PowerShell e é amplamente utilizada por profissionais de segurança para auditoria de ambientes Azure AD, testes de configuração de identidade e avaliações de permissões entre tenants. No contexto malicioso, AADInternals permite que atores de ameaça enumerem usuários, grupos e dispositivos Azure AD, forjem tokens SAML, manipulem trust entre Azure AD e AD on-premises (identidade híbrida), e registrem dispositivos não autorizados. O [[g0016-apt29|APT29]] (Cozy Bear) usou AADInternals durante a operação SolarWinds para modificar configurações de autenticação federated e persistir no Azure AD das vítimas por meses sem detecção. O [[g1053-storm-0501|Storm-0501]] utilizou a ferramenta em ataques de ransomware para escalar de ambientes on-premises para Azure, demonstrando o risco de movimentação lateral cloud ↔ on-prem. **Plataformas:** Windows, Office Suite, Identity Provider ## Técnicas Utilizadas - [[t1526-cloud-service-discovery|T1526 - Cloud Service Discovery]] - [[t1649-steal-or-forge-authentication-certificates|T1649 - Steal or Forge Authentication Certificates]] - [[t1556-007-hybrid-identity|T1556.007 - Hybrid Identity]] - [[t1098-005-device-registration|T1098.005 - Device Registration]] - [[t1598-003-spearphishing-link|T1598.003 - Spearphishing Link]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1484-002-trust-modification|T1484.002 - Trust Modification]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1069-003-cloud-groups|T1069.003 - Cloud Groups]] - [[t1136-003-cloud-account|T1136.003 - Cloud Account]] - [[t1606-002-saml-tokens|T1606.002 - SAML Tokens]] - [[t1590-001-domain-properties|T1590.001 - Domain Properties]] - [[t1589-002-email-addresses|T1589.002 - Email Addresses]] - [[t1558-002-silver-ticket|T1558.002 - Silver Ticket]] - [[t1552-004-private-keys|T1552.004 - Private Keys]] ## Grupos que Usam - [[g0016-apt29|APT29]] - [[g1053-storm-0501|Storm-0501]] ## Relevância LATAM/Brasil A adoção acelerada de Microsoft 365 e Azure AD nas empresas brasileiras - especialmente nos setores financeiro, governo e telecomúnicações - torna AADInternals uma ferramenta de alta relevância para o cenário local. Grupos de ransomware como [[g1053-storm-0501|Storm-0501]], que em 2024 comprometeram organizações nos EUA e migraram para Azure, utilizam TTPs diretamente replicáveis em tenants Azure de empresas brasileiras. Organizações que operam ambientes híbridos (AD on-premises + Azure AD) são particularmente vulneráveis às técnicas de manipulação de [[t1484-002-trust-modification|trust modification]] e [[t1606-002-saml-tokens|SAML token forgery]] habilitadas pelo AADInternals. Em 2025, o CERT.br registrou aumento de comprometimentos de identidade em ambientes Microsoft 365 de entidades governamentais brasileiras. ## Detecção **Fontes de dados recomendadas:** - **Microsoft Entra ID Sign-In Logs:** Autenticações com refresh tokens anômalos ou tokens SAML com emissor não autorizado; acessos de IPs fora do padrão geográfico do tenant - **Microsoft Unified Audit Log:** Eventos `Add service principal`, `Set domain authentication`, `Updaté domain` - indicativos de manipulação de federation settings via AADInternals - **Azure AD Audit Logs:** Operações de `Add device` (Device Registration - T1098.005) e alterações em `TrustFrameworkPolicy` associadas à técnica [[t1556-007-hybrid-identity|T1556.007]] - **Windows Event ID 4104 (PowerShell Script Block Logging):** Módulos AADInternals como `Invoke-AADIntReconAsOutsider`, `Get-AADIntAccessTokenForAADGraph`, `ConvertTo-AADIntBackdoorUser` **Regras de detecção:** - Sigma: `azure_ad_prt_token_abuse.yml` - detecção de Primary Refresh Token abuse via AADInternals (SigmaHQ) - Microsoft Sentinel: `AADInternals_PowerShell_Module_Activity` - correlação de comandos AADInternals com Sign-In anomalies - Defender for Identity: alertas de `Suspicious modification of a domain's federation settings` - acionado por alterações de trust via AADInternals ## Referências Adicionais - [MITRE ATT&CK - S0677](https://attack.mitre.org/software/S0677) - [Nestori Syynimaa - AADInternals GitHub](https://github.com/Gerenios/AADInternals) - repositório oficial - [Microsoft MSRC - Detecting AADInternals Abuse in Entra ID](https://www.microsoft.com/en-us/security/blog/2023/01/31/detecting-and-mitigating-active-directory-compromises/) - 2023 - [CISA AA21-008A - SolarWinds / APT29 - AAD manipulation techniques](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-008a) - 2021-01-08