det0487-distributed-password-spraying-via-authentication-failures-across-multipl

# DET0487 — Distributed Password Spraying via Authentication Failures Across Multiple Accounts ## Descrição Password spraying distribuído é uma variante evasiva do ataque de força bruta em que adversários testam uma única senha (ou pequeno conjunto) contra um grande número de contas, originando tentativas de múltiplos IPs de origem para evitar o bloqueio de conta por tentativas excessivas. Essa técnica é classificada como [[T1110.003-brute-force-password-spraying|T1110.003 — Password Spraying]] no MITRE ATT&CK e é extensivamente utilizada por grupos APT e atores de acesso inicial contra serviços expostos como Office 365, VPNs e portais de autenticação. A natureza distribuída do ataque — múltiplos IPs de origem, frequentemente em resíduo de botnets ou infraestrutura de nuvem — dificulta a detecção baseada em limites de tentativas por IP. A estratégia eficaz correlaciona falhas de autenticação por conta alvo, identificando quando múltiplas contas experimentam falhas de login com baixa frequência por IP mas alta frequência agregada. Grupos como [[g0016-apt29|APT29]] e [[midnight-blizzard|Midnight Blizzard]] documentadamente usaram password spraying contra organizações governamentais e empresariais. A detecção requer normalização e correlação de logs de autenticação de múltiplas fontes: Active Directory (Event ID 4625), Azure AD Sign-In Logs, VPN access logs e aplicações web. A análise de padrões temporais — tentativas sincronizadas em múltiplas contas dentro de janelas de tempo específicas — é um indicador de alta fidelidade para ataques de spraying coordenado. ## Indicadores de Detecção - Múltiplas contas diferentes experimentando falha de autenticação (Event ID 4625) no mesmo intervalo de 30 minutos - Falhas de login distribuídas por 10+ IPs de origem distintos, cada um com apenas 1-3 tentativas por conta - Padrão de autenticação com mesma senha testada em múltiplas contas (identificável via hash/análise de horário) - Falhas de autenticação contra contas de usuários que não estão em período de trabalho (fuso horário) - IPs de origem em ASNs de VPS/nuvem sem histórico de acesso legítimo à organização - Tentativas de autenticação em protocolos legados (NTLM, Basic Auth) que deveriam estar desabilitados - Volume de falhas de autenticação anormalmente alto em aplicações SaaS (Office 365, Salesforce) vs. baseline ## Técnicas Relacionadas - [[T1110.003-brute-force-password-spraying|T1110.003 — Password Spraying]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an1336-analytic-1336|AN1336 — Analytic 1336]] - [[an1337-analytic-1337|AN1337 — Analytic 1337]] - [[an1338-analytic-1338|AN1338 — Analytic 1338]] - [[an1339-analytic-1339|AN1339 — Analytic 1339]] - [[an1340-analytic-1340|AN1340 — Analytic 1340]] - [[an1341-analytic-1341|AN1341 — Analytic 1341]] - [[an1342-analytic-1342|AN1342 — Analytic 1342]] - [[an1343-analytic-1343|AN1343 — Analytic 1343]] --- *Fonte: [MITRE ATT&CK — DET0487](https://attack.mitre.org/detectionstrategies/DET0487)*