det0024-detect-kerberos-ccache-file-theft-or-abuse-t1558005

# DET0024 — Detect Kerberos Ccache File Theft or Abuse (T1558.005) ## Descrição Esta estratégia detecta o roubo ou abuso de arquivos ccache (credential cache) do Kerberos, que armazenam tickets TGT e TGS de sessões autenticadas em sistemas Linux, macOS e ambientes cross-platform. Ao copiar esses arquivos, um adversário pode impersonar o usuário autenticado sem conhecer a senha, utilizando o ticket diretamente com ferramentas como `impacket` ou `krb5-útil`. Em sistemas Linux, os arquivos ccache residem tipicamente em `/tmp/krb5cc_<UID>` ou são gerenciados pelo `KEYRING`. Acesso a esses arquivos por processos que não sejam o daemon Kerberos (`krb5kdc`, `kinit`) ou o próprio usuário autenticado é suspeito. Nos sistemas macOS, o ccache é gerenciado pelo `SecurityServer` e acessos fora desse contexto devem ser alertados. A variável de ambiente `KRB5CCNAME` sendo redirecionada para um arquivo controlado pelo atacante também é indicador. A telemetria necessária inclui auditoria de acesso a arquivos (via `auditd` no Linux ou BSM no macOS), monitoramento de processos que leem `/tmp/krb5cc_*`, e correlação com autenticações Kerberos subsequentes originadas de hosts inesperados ou horários atípicos. ## Indicadores de Detecção - Leitura de `/tmp/krb5cc_*` por processo não pertencente ao usuário proprietário do ticket - Cópia de arquivos ccache para diretórios externos ou por processos com baixo UID - Variável `KRB5CCNAME` modificada em sessão não-interativa para apontar a arquivo externo - Uso de `klist` ou `kinit` por processos automatizados sem precedente histórico - Autenticação Kerberos (AS-REQ/TGS-REQ) originada de host diferente do que gerou o ccache - Ferramentas: `impacket/GetST.py`, `krb5-útil`, `pass-the-cache` com ccache exfiltrado - Acesso incomum ao keyring do kernel (`keyctl`) buscando credenciais Kerberos ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0069-analytic-0069|AN0069 — Analytic 0069]] - [[an0070-analytic-0070|AN0070 — Analytic 0070]] --- *Fonte: [MITRE ATT&CK — DET0024](https://attack.mitre.org/detectionstrategies/DET0024)*