det0074-detect-use-of-stolen-web-session-cookies-across-platforms

# DET0074 — Detect Use of Stolen Web Session Cookies Across Platforms ## Descrição O roubo e reuso de cookies de sessão web (T1539) é uma técnica amplamente utilizada para contornar autenticação multifator (MFA) em plataformas SaaS, serviços de e-mail corporativo e portais de administração em nuvem. Ao capturar cookies de sessão válidos — via infostealer, proxy AiTM (Adversary-in-the-Middle) ou acesso ao armazenamento de cookies do navegador — o adversário pode autenticar-se em serviços como Microsoft 365, Google Workspace e Okta sem necessidade de senha ou segundo fator. Esta estratégia de detecção foca em anomalias de geolocalização e características de contexto de sessão: uso do mesmo cookie de sessão a partir de endereços IP em países diferentes dentro de um intervalo de tempo impossível para viagem humana (Impossible Travel), mudança de User-Agent string mantendo o mesmo token de sessão, e autenticação bem-sucedida em plataforma SaaS sem o evento prévio de autenticação primária (indicando uso de cookie capturado fora da plataforma). O alerta é especialmente relevante para organizações no Brasil que utilizam Microsoft 365, pois campanhas de AiTM phishing frequentemente visam credenciais corporativas de executivos e equipes financeiras. Ferramentas como Evilginx2 e Modlishka são usadas por atores como [[g0016-apt29]] e grupos de BEC para capturar cookies em tempo real durante ataques de phishing. ## Indicadores de Detecção - Sessão autenticada originada de país diferente da sessão anterior com intervalo impossível (< 2h para distância > 1000 km) - Mudança de User-Agent string entre requisições consecutivas com o mesmo token de sessão - Acesso a plataforma SaaS sem evento de autenticação registrado no Identity Provider nas últimas 24h - Token de sessão com tempo de vida anormalmente longo (> 24h) sendo reutilizado de múltiplos IPs - Atividade administrativa (criação de regras de inbox, adição de dispositivos) imediatamente após autenticação de IP incomum - Cookie de sessão presente em requisição sem suporte a TLS moderno (indicativo de tráfego via proxy AiTM) ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1111-multi-factor-authentication-interception|T1111 — MFA Interception]] - [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] - [[t1078004-valid-accounts-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] ## Analytics Relacionadas - [[an0201-analytic-0201|AN0201 — Analytic 0201]] - [[an0202-analytic-0202|AN0202 — Analytic 0202]] - [[an0203-analytic-0203|AN0203 — Analytic 0203]] --- *Fonte: [MITRE ATT&CK — DET0074](https://attack.mitre.org/detectionstrategies/DET0074)*