# ROADTools > Tipo: **tool** · S0684 · [MITRE ATT&CK](https://attack.mitre.org/software/S0684) ## Descrição [[s0684-roadtools|ROADTools]] (Rogue Office and Azure Directory Tools) é um framework open source escrito em Python para pesquisa e enumeração de ambientes Azure Active Directory e Microsoft 365. Desenvolvido pelo pesquisador de segurança Dirk-ján Mollema, o framework inclui módulos para enumeração completa de objetos do Azure AD (usuários, grupos, aplicações, dispositivos, políticas), extração de dados para banco de dados local para análise offline, e exploração de relações de confiança e permissões excessivas em tenants Microsoft 365. Em operações maliciosas, [[g0016-apt29|APT29]] (Cozy Bear, Rússia) utilizou ROADTools em campanhas de espionagem, notadamente após comprometimento de credenciais via phishing ou password spray. Com ROADTools, operadores podem mapear completamente um tenant Azure AD em minutos: enumerar todos os usuários e grupos, identificar aplicações com permissões excessivas (candidatas a privilege escalation via OAuth abuse), descobrir service principals e managed identities, e coletar tokens de acesso armazenados em configurações de aplicações comprometidas. O ROADTools é particularmente valioso para adversários em fases de reconhecimento de ambientes Microsoft 365/Azure híbridos, onde a integração entre on-premises AD e Azure AD cria vetores de ataque bidirecionais. A coleta de dados via API Graph do Azure AD pode parecer atividade legítima de administração em ausência de controles de detecção específicos para ferramentas de enumeração. **Plataformas:** Identity Provider ## Técnicas Utilizadas - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1526-cloud-service-discovery|T1526 - Cloud Service Discovery]] - [[t1087-004-cloud-account|T1087.004 - Cloud Account]] - [[t1069-003-cloud-groups|T1069.003 - Cloud Groups]] - [[t1078-004-cloud-accounts|T1078.004 - Cloud Accounts]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção **Fontes de dados recomendadas:** - **Azure AD Sign-in Logs:** Enumeração massiva via Microsoft Graph API em curto intervalo - múltiplas chamadas a `/users`, `/groups`, `/applications`, `/servicePrincipals` de um único token/IP - **Azure AD Audit Logs:** Acesso incomum a dados do diretório por conta de usuário normal (não service account ou admin) via Graph API - **Microsoft Defender for Identity / Entra ID Protection:** Alerta "Impossible Travel" ou "Atypical Sign-in" quando ROADTools é executado de infraestrutura de atacante com credenciais comprometidas **Regras de detecção:** - KQL (Sentinel): Detecção de user-agent `python-requests` ou `ROADTools` em logs de sign-in do Azure AD - indica uso de ferramenta de linha de comando - Threshold: Alerta em > 100 chamadas de API Graph em 5 minutos por uma única identidade não-service account - Conditional Access: Bloquear autenticação a partir de dispositivos não gerenciados para reduzir superfície de exploração de credenciais comprometidas ## Relevância LATAM/Brasil [[g0016-apt29|APT29]] - grupo de espionagem russo de altíssima sofisticação responsável pelo compromisso do SolarWinds e múltiplas operações contra governos ocidentais - representa ameaça direta a organizações brasileiras de governo, energia e tecnologia com presença em ambientes Azure/Microsoft 365. Com a adoção crescente de Microsoft 365 por empresas brasileiras, a superfície de ataque para ferramentas como ROADTools expande-se proporcionalmente. Organizações brasileiras que migraram para Azure AD híbrido sem implementar controles de detecção específicos para Graph API abuse são alvos vulneráveis ao tipo de reconhecimento facilitado pelo ROADTools. ## Referências - [MITRE ATT&CK - S0684](https://attack.mitre.org/software/S0684)