det0293-detect-hybrid-identity-authentication-process-modification

# DET0293 — Detect Hybrid Identity Authentication Process Modification ## Descrição Esta estratégia detecta modificações em processos de autenticação em ambientes de identidade híbrida (on-premises Active Directory + Azure AD/Entra ID), onde adversários comprometem componentes de sincronização como o Azure AD Connect para interceptar ou forjar credenciais. A comprometimento da infraestrutura de identidade híbrida permite acesso persistente tanto ao ambiente cloud quanto on-premises com credenciais aparentemente legítimas. Os indicadores incluem modificações no processo `AzureADConnectAuthAgentService`, alterações em configurações do ADFS (Active Directory Federation Services), manipulação de Pass-Through Authentication (PTA) agents, e acesso incomum ao banco de dados local do AD Connect que armazena credenciais sincronizadas. O ataque de Golden SAML, utilizado pelo [[g0016-apt29|APT29]] no caso SolarWinds, exemplifica como esta técnica pode ser explorada para criar tokens de autenticação forjados. A telemetria requer correlação entre logs do AD Connect, eventos do Windows (acesso a arquivos de configuração sensíveis, modificações em serviços), e anomalias nos padrões de autenticação Azure AD como logins de aplicações usando tokens SAML com atributos incomuns. Ferramentas como `ADConnectDump` foram desenvolvidas específicamente para explorar credenciais do AD Connect. ## Indicadores de Detecção - Acesso ao arquivo de configuração do AD Connect (`%ProgramData%\Microsoft Azure AD Sync\`) por processo não esperado - Modificação do serviço `ADSync` ou `Azure AD Connect Authentication Agent` - Certificado de assinatura SAML do ADFS acessado fora de janela de manutenção - Token SAML com `NotBefore`/`NotOnOrAfter` incomuns ou emitido por IdP não esperado - Autenticação Pass-Through com credencial de conta de serviço de sincronização fora de horário de sync - Novo agente de PTA registrado no Azure AD sem processo de aprovação documentado ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0814-analytic-0814|AN0814 — Analytic 0814]] - [[an0815-analytic-0815|AN0815 — Analytic 0815]] - [[an0816-analytic-0816|AN0816 — Analytic 0816]] - [[an0817-analytic-0817|AN0817 — Analytic 0817]] - [[an0818-analytic-0818|AN0818 — Analytic 0818]] --- *Fonte: [MITRE ATT&CK — DET0293](https://attack.mitre.org/detectionstrategies/DET0293)*