det0246-detection-strategy-for-mfa-interception-via-input-capture-and-smart-card

# DET0246 — Detection Strategy for MFA Interception via Input Capture and Smart Card Proxying ## Descrição Detecta tentativas de interceptação de fatores MFA através de captura de input (keyloggers, screen capture) e proxying de smart cards. Adversários empregam essas técnicas para capturar códigos OTP, PINs de smart card e sessões de autenticação em tempo real, contornando proteções de múltiplos fatores sem precisar comprometer a infraestrutura de identidade. Os indicadores incluem carregamento de DLLs maliciosas em processos de autenticação (LSASS, credUI), acesso a dispositivos de leitura de smart card por processos não-autorizados, e uso de frameworks de proxy MFA (Evilginx, Modlishka) detectable por análise de padrões de tráfego TLS e fingerprinting de infraestrutura de phishing. A telemetria necessária abrange eventos de carregamento de módulos em processos sensíveis (EDR), logs de acesso a dispositivos HID/PC/SC (smart card reader), análise de certificados TLS em proxies interceptadores, e correlação de eventos de autenticação bem-sucedida com localização geográfica ou dispositivo anômalo. ## Indicadores de Detecção - DLL não assinada carregada no processo `LogonUI.exe` ou `credUI.dll` - Processo desconhecido acessando `winscard.dll` ou APIs do Windows Smart Card - Autenticação MFA bem-sucedida seguida de login de localização geograficamente impossível - Tráfego HTTPS para domínio de phishing que replica portal de autenticação corporativo - Hook de teclado (SetWindowsHookEx WH_KEYBOARD_LL) por processo sem whitelist - Token de sessão reutilizado de IP diferente do IP original de autenticação ## Técnicas Relacionadas - [[t1111-multi-factor-authentication-interception|T1111 — MFA Interception]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] ## Analytics Relacionadas - [[an0687-analytic-0687|AN0687 — Analytic 0687]] - [[an0688-analytic-0688|AN0688 — Analytic 0688]] - [[an0689-analytic-0689|AN0689 — Analytic 0689]] --- *Fonte: [MITRE ATT&CK — DET0246](https://attack.mitre.org/detectionstrategies/DET0246)*