# AN0483 — Analytic 0483 ## Descrição Este analítico detecta cookies forjados em ambientes IaaS que se manifestam como tentativas de autenticação que contornam o MFA, abusando das APIs AssumeRole ou de sessão com cookies nunca emitidos legitimamente. A telemetria inclui logs de autenticação em nuvem (CloudTrail, Azure AD Signin Logs), correlação de sessões cookie-based sem autenticação prévia válida e acessos a recursos a partir de endereços IP desconhecidos. Identificar esse padrão é fundamental pois representa uma técnica sofisticada de sequestro de sessão que não deixa rastros de credenciais comprometidas nos sistemas de identidade tradicionais. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] --- *Fonte: [MITRE ATT&CK — AN0483](https://attack.mitre.org/detectionstrategies/DET0171#AN0483)*