# DET0551 — Password Guessing via Multi-Source Authentication Failure Correlation ## Descrição A adivinhação de senhas ([[t1110-001-password-guessing|T1110.001 — Password Guessing]]) é uma técnica de força bruta onde adversários tentam autenticar-se em contas usando senhas comuns, senhas de listas vazadas ou variações previsíveis. Diferente do password spraying (uma senha para muitas contas), o password guessing foca múltiplas tentativas contra contas específicas de alto valor. Esta estratégia de detecção correlaciona falhas de autenticação provenientes de múltiplas fontes — Active Directory, VPN, aplicações web, serviços cloud e RDP — para identificar campanhas de adivinhação que distribuem tentativas entre serviços para evitar bloqueio por threshold em sistemas individuais. A correlação multi-fonte é essencial porque adversários sofisticados distribuem tentativas entre diferentes pontos de autenticação: 3 tentativas no portal OWA, 3 no VPN, 3 no RDP — nenhum sistema individual atinge o limiar de bloqueio, mas a visão consolidada revela 9 falhas para a mesma conta em 5 minutos. A telemetria requerida inclui: Event ID 4625 (Windows logon failure), logs de autenticação RADIUS/LDAP, falhas de VPN (Cisco AnyConnect, Fortinet FortiClient), logs de acesso negado em aplicações web e falhas de autenticação em IdPs (Azure AD, Okta). O SIEM deve normalizar todos estes eventos em um esquema comum com campos `username`, `source_ip`, `timestamp` e `auth_service`. No cenário LATAM, esta estratégia é particularmente relevante dada a prevalência de ataques de credential stuffing utilizando bases de dados vazadas de serviços brasileiros. Grupos como [[guildma|Guildma]] e operadores de banking trojans frequentemente realizam tentativas de acesso a portais corporativos com credenciais coletadas via phishing. A implementação de correlação multi-fonte permite detectar estas campanhas mesmo quando os atacantes utilizam rotação de IPs via proxies residenciais brasileiros. ## Indicadores de Detecção - Mais de 5 falhas de autenticação para a mesma conta em múltiplos serviços (AD + VPN + webapp) dentro de janela de 10 minutos - Falhas de autenticação originadas de IPs em blocos residenciais ou de provedores de VPN/proxy conhecidos contra contas privilegiadas - Padrão de tentativas sequenciais com senhas incrementais (detectável via análise de timing entre tentativas) - Falhas de autenticação para contas de serviço ou contas administrativas que normalmente não falham (baseline limpo) - Tentativas de login com usernames no formato `[email protected]` em serviços que usam formato `DOMINIO\usuario` (indicando lista de credenciais vazada) - Correlação temporal entre falhas de autenticação e consultas DNS para o domínio corporativo a partir do mesmo IP fonte ## Técnicas Relacionadas - [[t1110-001-password-guessing|T1110.001 — Password Guessing]] — técnica principal coberta por esta estratégia - [[t1110-003-password-spraying|T1110.003 — Password Spraying]] — técnica relacionada de força bruta distribuída - [[t1078-valid-accounts|T1078 — Valid Accounts]] — resultado do sucesso de adivinhação de senha - [[t1133-external-remote-services|T1133 — External Remote Services]] — serviços remotos frequentemente alvo de tentativas - [[t1021-remote-services|T1021 — Remote Services]] — serviços internos visados após acesso inicial ## Analytics Relacionadas - [[an1521-analytic-1521|AN1521 — Analytic 1521]] - [[an1522-analytic-1522|AN1522 — Analytic 1522]] - [[an1523-analytic-1523|AN1523 — Analytic 1523]] - [[an1524-analytic-1524|AN1524 — Analytic 1524]] - [[an1525-analytic-1525|AN1525 — Analytic 1525]] - [[an1526-analytic-1526|AN1526 — Analytic 1526]] --- *Fonte: [MITRE ATT&CK — DET0551](https://attack.mitre.org/detectionstrategies/DET0551)*