det0296-detect-adversary-in-the-middle-via-network-and-configuration-anomalies

# DET0296 — Detect Adversary-in-the-Middle via Network and Configuration Anomalies ## Descrição Esta estratégia detecta ataques de Adversary-in-the-Middle (AiTM), onde adversários se posicionam entre comúnicações legítimas para interceptar, modificar ou roubar dados — incluindo credenciais, tokens de sessão e conteúdo de comúnicações. As variantes incluem ARP spoofing, DNS poisoning, HTTPS interception via certificados fraudulentos, e proxy transparente para captura de cookies de sessão autenticada (bypassing MFA). Os indicadores de rede incluem mudanças inesperadas em tabelas ARP, resolução DNS de domínios conhecidos para IPs diferentes dos esperados, certificados TLS apresentados com CA não confiável ou assinatura incomum, e latência adicional em conexões que pode indicar proxy intermediário. Em ataques AiTM modernos (como os usados para bypass de MFA com ferramentas como Evilginx2), cookies de sessão válidos são extraídos mesmo após autenticação MFA bem-sucedida. A correlação entre eventos de autenticação (login bem-sucedido com MFA) e acesso posterior de IP diferente com o mesmo token de sessão é um indicador de alta fidelidade de AiTM bem-sucedido. Grupos como [[g0016-apt29|APT29]] e campanhas de BEC utilizam extensivamente técnicas AiTM para comprometer contas corporativas em nuvem. ## Indicadores de Detecção - Mudança em tabela ARP: MAC address diferente para IP de gateway ou servidor crítico - Resolução DNS de domínio corporativo retornando IP não pertencente à infraestrutura conhecida - Certificado TLS apresentado com CN correto mas CA não pertencente ao baseline aprovado - Token de sessão reutilizado de IP diferente do login original em < 5 minutos - Latência de rede 2x+ superior ao baseline em conexões a serviços internos críticos - DHCP offer de servidor não autorizado em segmento de rede monitorado (rogue DHCP) ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] ## Analytics Relacionadas - [[an0823-analytic-0823|AN0823 — Analytic 0823]] - [[an0824-analytic-0824|AN0824 — Analytic 0824]] - [[an0825-analytic-0825|AN0825 — Analytic 0825]] - [[an0826-analytic-0826|AN0826 — Analytic 0826]] --- *Fonte: [MITRE ATT&CK — DET0296](https://attack.mitre.org/detectionstrategies/DET0296)*