det0148-detection-strategy-for-forged-saml-tokens

# DET0148 — Detection Strategy for Forged SAML Tokens ## Descrição Esta estratégia detecta o uso de tokens SAML forjados (T1606.002) — conhecidos como "Golden SAML" — onde adversários com acesso ao certificado de assinatura do Identity Provider (IdP) criam tokens SAML válidos para qualquer usuário sem necessidade de autenticação. O ataque foi notoriamente utilizado pelo grupo APT29 (Cozy Bear) na campanha SolarWinds para acessar recursos Microsoft 365 e Azure das vítimas. A forjá de tokens SAML requer compromisso prévio do servidor ADFS (Active Directory Federation Services) ou outro IdP para extrair a chave privada de assinatura (`token-signing certificaté`). Com ela, o adversário pode gerar tokens para qualquer conta, incluindo administradores globais, contornando MFA e políticas de acesso condicional que dependem do fluxo de autenticação normal. A telemetria inclui logs de ADFS (audit events de emissão de token), logs de login do Azure AD/Microsoft 365 (especialmente logins sem MFA claim quando MFA é obrigatório), Unified Audit Log do Microsoft 365, e alertas do Microsoft Defender for Identity para extração de certificado ADFS. A ausência de correlação entre evento de autenticação no ADFS e login observado no cloud é um indicador forte. ## Indicadores de Detecção - Login ao Microsoft 365/Azure sem claim de MFA quando Conditional Access exige MFA - Token SAML com `AuthnContextClassRef` não correspondendo à política de autenticação do ambiente - Acesso a Exchange Online ou SharePoint de IP/localização sem correlação com autenticação ADFS - Extração do certificado de token-signing do ADFS (Event ID 501 no ADFS audit log) - Login com conta privilegiada sem evento de autenticação correspondente no IdP interno ## Técnicas Relacionadas - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] ## Analytics Relacionadas - [[an0418-analytic-0418|AN0418 — Analytic 0418]] - [[an0419-analytic-0419|AN0419 — Analytic 0419]] - [[an0420-analytic-0420|AN0420 — Analytic 0420]] - [[an0421-analytic-0421|AN0421 — Analytic 0421]] - [[an0422-analytic-0422|AN0422 — Analytic 0422]] --- *Fonte: [MITRE ATT&CK — DET0148](https://attack.mitre.org/detectionstrategies/DET0148)*