det0185-behavioral-detection-strategy-for-use-alternate-authentication-material-

# DET0185 — Behavioral Detection Strategy for Use Alternate Authentication Material: Application Access Token (T1550.001) ## Descrição Esta estratégia detecta o uso de tokens de acesso de aplicações OAuth/OIDC roubados ou forjados para autenticação — mapeada para [[T1550.001 — Application Access Token]]. Adversários que comprometem tokens de API, tokens OAuth de longa duração ou refresh tokens podem acessar serviços em nuvem, SaaS e APIs sem precisar de credenciais de usuário, contornando MFA e políticas de acesso condicional. A detecção foca em anomalias de uso de token: acesso de localizações geográficas incomuns, user-agents inconsistentes com o padrão do usuário, uso de tokens fora do horário normal de trabalho, e acesso a recursos não acessados anteriormente. Logs de autenticação de serviços como Microsoft 365, Google Workspace, AWS IAM e Okta são fontes primárias de telemetria. Cinco analytics cobrem diferentes vetores: acesso a Graph API com tokens de terceiros, uso de tokens OAuth com scopes expandidos, refresh tokens utilizados de IPs incomuns, tokens de serviço acessando múltiplos recursos em rafaga, e tokens criados por aplicações não aprovadas. A correlação com logs de consentimento OAuth identifica aplicações maliciosas autorizadas por usuários enganados. ## Indicadores de Detecção - Token OAuth utilizado de IP não associado ao dispositivo registrado do usuário - Refresh token ativo após período de inatividade longo (> 30 dias sem uso) - Acesso a Microsoft Graph API com token de aplicação não catalogada - Scopes OAuth expandidos sem novo consentimento do usuário (`offline_access`, `Mail.Read`) - Uso de token em múltiplas regiões geográficas em curto intervalo (impossible travel) - User-agent do token diferente do padrão histórico do usuário/aplicação - Acesso a recursos sensíveis (SharePoint, Exchange) por tokens de aplicação sem MFA ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0526-analytic-0526|AN0526 — Analytic 0526]] - [[an0527-analytic-0527|AN0527 — Analytic 0527]] - [[an0528-analytic-0528|AN0528 — Analytic 0528]] - [[an0529-analytic-0529|AN0529 — Analytic 0529]] - [[an0530-analytic-0530|AN0530 — Analytic 0530]] --- *Fonte: [MITRE ATT&CK — DET0185](https://attack.mitre.org/detectionstrategies/DET0185)*