det0260-detection-strategy-for-forged-web-credentials

# DET0260 — Detection Strategy for Forged Web Credentials ## Descrição Detecta o uso de credenciais web forjadas, incluindo cookies de sessão roubados, tokens JWT manipulados e SAML assertions falsificadas. Adversários que obtêm acesso a material de assinatura de tokens (chaves privadas, segredos de sessão) podem forjar credenciais que contornam autenticação sem necessidade de conhecer a senha do usuário, tornando detecção baseada em anomalias essencial. Os indicadores incluem tokens JWT com claims incomuns (exp muito longo, sub de usuário privilegiado acessando de localização nova), SAML assertions com IssuerID inesperado, cookies de sessão reutilizados de múltiplos IPs simultaneamente, e autenticação bem-sucedida sem evento de login correspondente no IdP. O ataque Golden SAML é particularmente relevante em ambientes híbridos AD/ADFS. A telemetria necessária abrange análise de tokens de autenticação em gateways de API, correlação de eventos de autenticação entre IdP e aplicações, detecção de anomalias em claims de tokens (duração, emissores, atributos) e alertas de UEBA para padrões de acesso anômalos após autenticação bem-sucedida. ## Indicadores de Detecção - Token JWT com campo `exp` superior a 24 horas sem justificativa de aplicação - SAML Response com `Issuer` diferente do IdP configurado na aplicação SP - Cookie de sessão válido utilizado simultaneamente de dois IPs geograficamente distantes - Autenticação federada bem-sucedida sem evento de login no ADFS/Okta/Azure AD correspondente - Token OAuth com `scope` mais amplo que o solicitado pelo cliente na autorização - Claim `oid` ou `sub` de token não correspondendo a usuário ativo no diretório ## Técnicas Relacionadas - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] ## Analytics Relacionadas - [[an0717-analytic-0717|AN0717 — Analytic 0717]] - [[an0718-analytic-0718|AN0718 — Analytic 0718]] - [[an0719-analytic-0719|AN0719 — Analytic 0719]] - [[an0720-analytic-0720|AN0720 — Analytic 0720]] - [[an0721-analytic-0721|AN0721 — Analytic 0721]] - [[an0722-analytic-0722|AN0722 — Analytic 0722]] - [[an0723-analytic-0723|AN0723 — Analytic 0723]] --- *Fonte: [MITRE ATT&CK — DET0260](https://attack.mitre.org/detectionstrategies/DET0260)*