det0338-behavioral-detection-strategy-for-use-alternate-authentication-material-

# DET0338 — Behavioral Detection Strategy for Use Alternate Authentication Material (T1550) ## Descrição Esta estratégia detecta o uso de material de autenticação alternativo — tokens de sessão, cookies de aplicação, tickets Kerberos, hashes NTLM — para autenticar sem conhecer a senha em texto claro. A técnica [[t1550-use-alternate-authentication-material|T1550-use-alternate-authentication-material]] inclui sub-técnicas como Pass-the-Hash, Pass-the-Ticket, Pass-the-Cookie e uso de tokens OAuth/SAML roubados, todas evitando a necessidade de credenciais tradicionais. A detecção comportamental foca em anomalias no padrão de autenticação: logins bem-sucedidos de localizações incomuns, uso de tokens com claims inconsistentes com o perfil do usuário, autenticação Kerberos sem evento de pedido de TGT precedente (indicativo de Pass-the-Ticket), e reuso de session cookies em novos navegadores/IPs sem renovação. Esta família de técnicas é central em ataques de movimento lateral avançados, especialmente após Kerberoasting ou comprometimento de LSASS. A correlação com eventos de acesso a LSASS ou dumps de memória precedentes aumenta significativamente a fidelidade dos alertas. ## Indicadores de Detecção - Autenticação Kerberos bem-sucedida sem evento de AS-REQ/TGT precedente (Pass-the-Ticket) - Logon tipo 3 (rede) com hash NTLM sem logon interativo recente do mesmo usuário (Pass-the-Hash) - Uso de session cookie ou token OAuth após expiração prevista ou de IP/dispositivo não registrado - Ticket Kerberos com tempo de vida anormalmente longo (Golden Ticket indicator) - `sekurlsa::pth` via Mimikatz detectado por EDR - Autenticação SAML com asserção sem correspondência ao IdP legítimo ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550-use-alternate-authentication-material]] — técnica primária - [[T1550.002-pass-the-hash]] — uso de hash NTLM para autenticação - [[T1550.003-pass-the-ticket]] — uso de tickets Kerberos roubados - [[t1558-steal-or-forge-kerberos-tickets|T1558-steal-or-forge-kerberos-tickets]] — roubo de tickets que precede Pass-the-Ticket - [[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]] — roubo de cookies para Pass-the-Cookie ## Analytics Relacionadas - [[an0954-analytic-0954|AN0954 — Analytic 0954]] - [[an0955-analytic-0955|AN0955 — Analytic 0955]] - [[an0956-analytic-0956|AN0956 — Analytic 0956]] - [[an0957-analytic-0957|AN0957 — Analytic 0957]] - [[an0958-analytic-0958|AN0958 — Analytic 0958]] - [[an0959-analytic-0959|AN0959 — Analytic 0959]] - [[an0960-analytic-0960|AN0960 — Analytic 0960]] --- *Fonte: [MITRE ATT&CK — DET0338](https://attack.mitre.org/detectionstrategies/DET0338)*