det0515-detection-strategy-for-t1528-steal-application-access-token

# DET0515 — Detection Strategy for T1528 - Steal Application Access Token ## Descrição O roubo de tokens de acesso de aplicações (OAuth tokens, JWT, API keys) permite que adversários se autentiquem em serviços de nuvem e APIs como aplicações legítimas, frequentemente contornando MFA e controles de acesso baseados em usuário. Tokens de acesso OAuth2 de plataformas como Microsoft 365, Google Workspace, GitHub e serviços AWS são alvos valiosos pois concedem acesso programático a recursos sem necessidade de credenciais do usuário. A técnica é mapeada como [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] no MITRE ATT&CK. Adversários obtêm tokens via diferentes vetores: OAuth phishing (induzindo usuários a autorizar apps maliciosas), extração de tokens de ambientes de desenvolvimento e CI/CD (GitHub Actions secrets, .env files), roubo de credenciais de aplicação (client_id/client_secret) de repositórios de código, e interceptação de fluxos de autorização OAuth via ataques AiTM. Uma vez obtido, o token pode ser usado de qualquer localização sem restrição de IP — tornando a detecção baseada em geolocalização ineficaz para tokens roubados. A estratégia de detecção inclui: monitoramento de consentimento de OAuth para aplicações de terceiros não aprovadas, análise de uso de tokens por User-Agent e IP inconsistentes com o padrão da aplicação legítima, alertas sobre tokens de longa duração usados fora do contexto de uso normal, e varredura de repositórios de código e ambientes CI/CD para exposição acidental de tokens. ## Indicadores de Detecção - Autorização OAuth concedida a aplicação não listada na whitelist corporativa de apps aprovadas - Token OAuth ou API key utilizado de IP/ASN nunca antes associado à aplicação legítima - User-Agent inconsistente com a aplicação registrada usando o token de acesso - Escopo de permissão elevado (ex: `mail.read`, `files.readwrite.all`) autorizado para app de baixo trust - Exposição de token em repositório de código (detecção via GitHub secret scanning ou ferramentas similares) - Token JWT decodificado revelando claims inconsistentes com uso esperado (exp muito longo, scope excessivo) - Múltiplas requisições de API em curto intervalo de tempo usando mesmo token de origens de IP diferentes ## Técnicas Relacionadas - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[T1078.004-valid-accounts-cloud-accounts|T1078.004 — Cloud Accounts]] - [[T1550.001-use-alternate-authentication-material-application-access-token|T1550.001 — Application Access Token]] - [[T1566.002-phishing-spearphishing-link|T1566.002 — Spearphishing Link]] ## Analytics Relacionadas - [[an1423-analytic-1423|AN1423 — Analytic 1423]] - [[an1424-analytic-1424|AN1424 — Analytic 1424]] - [[an1425-analytic-1425|AN1425 — Analytic 1425]] - [[an1426-analytic-1426|AN1426 — Analytic 1426]] - [[an1427-analytic-1427|AN1427 — Analytic 1427]] --- *Fonte: [MITRE ATT&CK — DET0515](https://attack.mitre.org/detectionstrategies/DET0515)*