# DC0006 — Web Credential Creation ## Descrição O componente **Web Credential Creation** registra a criação inicial de material de credencial web, como tokens de sessão, cookies de autenticação, tickets Kerberos para serviços web (ex: via ADFS) e tokens OAuth/SAML. Esse componente é essencial para detectar adversários que forjam ou criam credenciais web maliciosas para impersonar usuários legítimos. A criação legítima de credenciais web ocorre durante o processo de logon em serviços web, portais federados (ADFS, Azure AD), e aplicações SaaS. Adversários com acesso a chaves de assinatura ou configurações de federação podem criar tokens válidos sem realizar autenticação real, tornando esse componente crítico para detecção de ataques como Golden SAML e forjamento de tickets Kerberos. No contexto de ambientes corporativos brasileiros, a criação de tickets Kerberos (Event ID 4769) e tokens ADFS são particularmente relevantes. A detecção de Web Credential Creation em horários atípicos ou para serviços incomuns pode indicar comprometimento de chaves de assinatura ou roubo de sessão via proxy adversarial ([[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]]). A correlação com eventos de autenticação ([[dc0002-user-account-authentication]]) e acesso a objetos de diretório ([[dc0071-active-directory-object-access]]) fornece contexto adicional para triagem de alertas. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (AD/Kerberos) | 4769 | Solicitação de Service Ticket Kerberos | Security.evtx | | Windows (AD/Kerberos) | 1200 | Token JWT gerado pelo ADFS | ADFS Admin Log | | Windows (AD/Kerberos) | 1202 | Token emitido com sucesso pelo ADFS | ADFS Admin Log | | Azure AD | AuditLogs | Emissão de token OAuth/SAML | Azure Monitor | | AWS | AssumeRoleWithSAML | Criação de credencial temporária via SAML | CloudTrail | | Google Workspace | token | Token OAuth emitido para aplicação | Admin Activity Logs | | Proxy/WAF | — | Set-Cookie com token de sessão | Proxy/WAF logs | ## Queries de Detecção ### KQL — Azure Sentinel: Emissão de token SAML fora do horário comercial ```kql AuditLogs | where TimeGenerated > ago(24h) | where OperationName has "Issue an id_token" or OperationName has "Issue a SAML2 token" | extend Hour = hourofday(TimeGenerated) | where Hour < 6 or Hour > 22 | extend UserPrincipalName = tostring(InitiatedBy.user.userPrincipalName) | project TimeGenerated, OperationName, UserPrincipalName, Result, CorrelationId | order by TimeGenerated desc ``` ### SPL — Splunk: Tickets Kerberos com encryption type suspeito (RC4 — indicativo de forjamento) ```spl index=wineventlog EventCode=4769 | where TicketEncryptionType="0x17" | stats count by src_ip, user, ServiceName | where count > 5 | table src_ip, user, ServiceName, count | sort -count ``` ## Técnicas Relacionadas - [[t1606-forge-web-credentials|T1606-forge-web-credentials]] — Forjamento de cookies de sessão ou tokens SAML/OAuth usando chaves comprometidas - [[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]] — Roubo de cookies de sessão web para reuso sem autenticação - [[t1550-use-alternate-authentication-material|T1550-use-alternate-authentication-material]] — Uso de material de autenticação alternativo como Pass-the-Ticket ou Pass-the-Hash ## Contexto LATAM > [!globe] Relevância Regional > Ataques de sequestro de sessão contra portais bancários e sistemas de e-commerce são altamente prevalentes no Brasil. Grupos de cibercrime brasileiro utilizam injeção de JavaScript malicioso em sites legítimos para capturar cookies de sessão em tempo real. A monitoração de Web Credential Creation em ambientes federados com ADFS é menos comum em organizações brasileiras de médio porte, representando uma lacuna de visibilidade significativa para SOCs regionais. ## Referências - [MITRE ATT&CK — DC0006: Web Credential Creation](https://attack.mitre.org/datasources/DS0006/#Web%20Credential%20Creation) - [[ds0006-web-credential|DS0006 — Web Credential]] - [[t1606-forge-web-credentials|T1606-forge-web-credentials]] - [[_data-sources]] - [[_detections]]