det0350-detecting-downgrade-attacks

# DET0350 — Detecting Downgrade Attacks ## Descrição Esta estratégia detecta ataques de downgrade — forçar um protocolo ou mecanismo de segurança a usar uma versão mais antiga e vulnerável. A técnica [[T1562.010-downgrade-attack]] inclui downgrade de TLS (forçar SSLv3/TLS 1.0), downgrade de algoritmos Kerberos (RC4 em vez de AES), downgrade de NTLM (forçar NTLMv1 em vez de NTLMv2) e desabilitação de proteções de segurança modernas. A detecção baseia-se no monitoramento de negociações de protocolo onde versões mais fracas são selecionadas mesmo quando versões modernas estão disponíveis no cliente — o que é artificialmente induzido pelo adversário no papel de intermediário. Logs de autenticação Kerberos com tipo de cifragem RC4 (etype 23) em ambientes configurados para AES são um indicador de alto sinal. Em ambientes Active Directory, o downgrade de Kerberos para RC4 é frequentemente prerequisito de Kerberoasting e Pass-the-Hash avançado. O monitoramento de Event ID 4768/4769 com etype 0x17 (RC4-HMAC) é amplamente recomendado como detecção de alta fidelidade para este cenário. ## Indicadores de Detecção - Event ID 4769 com encryption type 0x17 (RC4-HMAC) para contas onde AES foi configurado - Negociação TLS resultando em TLS 1.0/1.1 ou SSLv3 entre clientes e servidores que suportam TLS 1.2+ - Solicitação Kerberos AS-REQ com etype exclusivamente RC4 (etype 23) para contas de serviço - NTLMv1 authentication (Event ID 4624 com LAN Manager authentication level < 3) em domínio configurado para NTLMv2 - Pacotes de Client Hello TLS com max_version inferior ao suportado pelo cliente (manipulação de MITM) - PowerShell Downgrade Attack: `powershell -Version 2` invocado para executar scripts evitando logging do ScriptBlock ## Técnicas Relacionadas - [[T1562.010-downgrade-attack]] — técnica primária - [[t1562-impair-defenses|T1562-impair-defenses]] — categoria pai (downgrade como forma de impairment) - [[t1557-adversary-in-the-middle|T1557-adversary-in-the-middle]] — MITM como vetor para forçar downgrade - [[T1558.003-kerberoasting]] — frequentemente precedido por downgrade de Kerberos para RC4 - [[t1600-weaken-encryption|T1600-weaken-encryption]] — enfraquecimento de criptografia relacionado ## Analytics Relacionadas - [[an0995-analytic-0995|AN0995 — Analytic 0995]] - [[an0996-analytic-0996|AN0996 — Analytic 0996]] - [[an0997-analytic-0997|AN0997 — Analytic 0997]] --- *Fonte: [MITRE ATT&CK — DET0350](https://attack.mitre.org/detectionstrategies/DET0350)*