det0171-detection-strategy-for-forged-web-cookies

# DET0171 — Detection Strategy for Forged Web Cookies ## Descrição Esta estratégia detecta uso de cookies de sessão web forjados ou roubados para autenticação não autorizada — mapeado em [[t1606-001-web-cookies|T1606.001 - Web Cookies]]. Adversários que obtêm chaves de assinatura de cookies de sessão (ex: chave secreta do Django, signing key de Express.js, SAML certificaté) podem criar cookies válidos sem credenciais, bypassando MFA e controles de autenticação. Os indicadores incluem sessões autenticadas com user-agent ou geolocalização de IP inconsistente com o histórico do usuário, múltiplos acessos simultâneos ao mesmo session ID de IPs geograficamente distantes, cookies com timestamp de criação que não corresponde a eventos de login nos logs do servidor, e uso de tokens SAML ou JWT com assinatura válida mas emitidos fora dos sistemas de identidade legítimos. WAF logs, application logs e SIEM com user behavior analytics são as fontes primárias. Correlacionar session ID com IP de origem, user-agent e fingerprint de dispositivo é a abordagem mais eficaz. Um session ID reutilizado após expiração ou apresentado de múltiplos IPs simultaneamente deve gerar alerta imediato e inválidação proativa. ## Indicadores de Detecção - Mesmo session ID utilizado de múltiplos IPs em janela de tempo curta (< 5 minutos) - Sessão autenticada de país/ASN nunca utilizado pelo usuário historicamente - Timestamp de criação do cookie anterior a qualquer evento de login nos logs do servidor - JWT ou SAML assertion com assinatura válida mas issuer desconhecido - Session ID apresentado após expiração configurada sem evento de renovação correspondente ## Técnicas Relacionadas - [[t1606-forge-web-credentials|T1606 - Forge Web Credentials]] — categoria pai - [[t1606-001-web-cookies|T1606.001 - Web Cookies]] — técnica principal detectada - [[t1550-004-web-session-cookie|T1550.004 - Web Session Cookie]] — uso do cookie forjado para movimento lateral - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] — técnica de roubo relacionada ## Analytics Relacionadas - [[an0483-analytic-0483|AN0483 — Analytic 0483]] - [[an0484-analytic-0484|AN0484 — Analytic 0484]] - [[an0485-analytic-0485|AN0485 — Analytic 0485]] - [[an0486-analytic-0486|AN0486 — Analytic 0486]] - [[an0487-analytic-0487|AN0487 — Analytic 0487]] --- *Fonte: [MITRE ATT&CK — DET0171](https://attack.mitre.org/detectionstrategies/DET0171)*