# DC0007 — Web Credential Usage ## Descrição O componente **Web Credential Usage** registra tentativas de acesso a sistemas ou recursos web mediante apresentação de credenciais web — como cookies de sessão, tokens OAuth, tickets Kerberos (via ADFS), ou tokens SAML — sem necessidade de autenticação interativa. Esse componente é fundamental para detectar ataques de sequestro de sessão e reuso de credenciais roubadas. Ao contrário da autenticação convencional ([[dc0002-user-account-authentication]]), o uso de credenciais web frequentemente não exige senha; o adversário apresenta um token ou cookie válido que o sistema aceita diretamente. O Event ID 1202 do ADFS, por exemplo, registra o uso de um token de segurança emitido — o que pode indicar tanto uso legítimo quanto replay de token roubado. A detecção de Web Credential Usage anômalo requer correlação de contexto: o mesmo token sendo utilizado de dois países diferentes, o mesmo cookie de sessão ativo em múltiplos endereços IP simultaneamente, ou o uso de credenciais após o encerramento formal da sessão são indicadores fortes de comprometimento. Ferramentas como Evilginx e Modlishka (proxies de phishing adversarial) capturam cookies em tempo real e os reutilizam nesse modelo. Em ambientes com ADFS e integração Azure AD, a cadeia de eventos desde a criação ([[dc0006-web-credential-creation]]) até o uso da credencial deve ser monitorada de forma contínua. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (ADFS) | 1202 | Token de segurança emitido/utilizado | ADFS Admin Log | | Windows (ADFS) | 4648 | Logon com credenciais explícitas (token) | Security.evtx | | Azure AD | SignInLogs | Login com token OAuth/sessão existente | Azure Monitor | | Azure AD | NonInteractiveUserSignIns | Uso de refresh token por aplicação | Azure Monitor | | AWS | GetSessionToken | Uso de token de sessão temporário | CloudTrail | | Proxy/WAF | — | Requisição com cookie de sessão conhecido | Proxy/WAF logs | | Apache/NGINX | — | Acesso autenticado via cookie | Access logs | ## Queries de Detecção ### KQL — Azure Sentinel: Mesmo refresh token usado em múltiplos países ```kql SigninLogs | where TimeGenerated > ago(1h) | where IsInteractive == false | summarize Countries = make_set(Location), IPCount = dcount(IPAddress), EventCount = count() by UserPrincipalName, CorrelationId | where array_length(Countries) > 1 | project UserPrincipalName, Countries, IPCount, EventCount, CorrelationId | order by IPCount desc ``` ### SPL — Splunk: Reuso de cookie de sessão em IPs distintos ```spl index=proxy sourcetype=proxy_logs | stats dc(src_ip) as ip_count, values(src_ip) as ips, count by session_cookie, user | where ip_count > 2 | table user, session_cookie, ips, ip_count, count | sort -ip_count ``` ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]] — Roubo e reuso de cookies de sessão web para acesso não autorizado - [[t1550-use-alternate-authentication-material|T1550-use-alternate-authentication-material]] — Uso de tokens ou hashes em vez de senhas para autenticação - [[t1606-forge-web-credentials|T1606-forge-web-credentials]] — Criação de credenciais web falsas para impersonação - [[t1185-browser-session-hijacking|T1185-browser-session-hijacking]] — Sequestro de sessão ativa no navegador da vítima ## Contexto LATAM > [!globe] Relevância Regional > O Brasil é um dos países com maior incidência de phishing adversarial via proxies (Evilginx, Modlishka), especialmente contra clientes de bancos e portais corporativos. A detecção de Web Credential Usage é uma camada crítica de defesa para organizações financeiras brasileiras. SOCs com integração Azure AD Conditional Access têm maior visibilidade nesse componente; ambientes puramente on-premises dependem de logs de proxy/WAF e ADFS. ## Referências - [MITRE ATT&CK — DC0007: Web Credential Usage](https://attack.mitre.org/datasources/DS0006/#Web%20Credential%20Usage) - [[ds0006-web-credential|DS0006 — Web Credential]] - [[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]] - [[t1550-use-alternate-authentication-material|T1550-use-alternate-authentication-material]] - [[_data-sources]] - [[_detections]]