# T1110.004 - Credential Stuffing ## Descrição **Credential Stuffing** (Recheio de Credenciais) é uma sub-técnica da família [[t1110-brute-force|T1110 - Brute Force]] na qual adversários utilizam listas massivas de combinações de usuário e senha provenientes de **vazamentos anteriores de dados** para tentar acessar outros serviços e sistemas. A lógica central da técnica explora um comportamento humano amplamente documentado: a reutilização de senhas em múltiplos serviços. Diferentemente do brute force tradicional, o credential stuffing não testa combinações aleatórias - ele usa credenciais **reais e previamente confirmadas**, extraídas de bancos de dados comprometidos disponibilizados públicamente em fóruns como BreachForums, RaidForums (descontinuado), dark web e canais do Telegram. Quando um usuário emprega a mesma senha no banco comprometido e no serviço alvo, o ataque tem alta taxa de sucesso. No contexto brasileiro e latino-americano, bases de credenciais vazadas de e-commerces regionais, bancos, provedores de internet e plataformas de entretenimento fornecem um volume expressivo de dados reutilizáveis por atores maliciosos. O Brasil figura sistematicamente entre os países com maior volume de credenciais expostas em relatórios anuais de empresas como SpyCloud, Have I Been Pwned e Group-IB. A técnica é classificada como de **baixo risco operacional** para o atacante, pois testa credenciais legítimas e não explora vulnerabilidades de software. Ferramentas automatizadas como Sentry MBA, OpenBullet, SilverBullet e BlackBullet possibilitam testar milhões de pares de credenciais por hora contra portais web, APIs e serviços cloud. > **Técnica pai:** [[t1110-brute-force|T1110 - Brute Force]] --- ## Como Funciona O fluxo de um ataque de credential stuffing envolve quatro etapas principais: **1. Aquisição de credenciais vazadas** O adversário obtém listas de usuário:senha de vazamentos públicos. Fontes incluem mega-dumps históricos (Collection #1-5, RockYou2021 com 8,4 bilhões de entradas) e vazamentos recentes de plataformas específicas. Ferramentas como DeHashed, Snusbase e dark web markets facilitam o acesso. **2. Preparação e filtragem** As listas são limpas, deduplicadas e formatadas no padrão esperado pela ferramenta de ataque. Muitas vezes são segmentadas por domínio de e-mail (ex: apenas contas `@empresa.com.br`) para aumentar a relevância contra o alvo. **3. Automação do ataque** Ferramentas de credential stuffing realizam requisições HTTP/HTTPS automatizadas simulando login legítimo. Recursos avançados incluem: - Rotação de proxies e redes residenciais (SOCKS5/HTTP) para burlar bloqueios por IP - Rotação de User-Agent para imitar navegadores reais - Resolução de CAPTCHA via serviços de terceiros (2captcha, Anti-Captcha) - Raté limiting adaptativo para evitar acionamento de alertas **4. Validação e extração** Credenciais válidas são separadas automaticamente ("hits"). O adversário então acessa as contas comprometidas para exfiltrar dados, executar fraudes, ou usar como pivô para acesso a sistemas corporativos via [[t1078-valid-accounts|T1078 - Valid Accounts]]. **Serviços tipicamente alvejados:** | Protocolo/Serviço | Porta | Relevância | |---|---|---| | SSH | 22/TCP | Acesso a servidores Linux | | RDP / Terminal Services | 3389/TCP | Acesso remoto Windows | | SMB / Samba | 445/TCP | Compartilhamentos de rede | | LDAP | 389/TCP | Active Directory | | Kerberos | 88/TCP | Autenticação Windows (ver [[t1558-steal-or-forge-kerberos-tickets\|T1558]]) | | HTTP/HTTPS | 80/443/TCP | Portais web, APIs, SaaS | | Microsoft 365 / Azure AD | HTTPS | E-mail corporativo, colaboração | | VPN / SSO | Variável | Acesso à rede corporativa | | Bancos e e-commerce | HTTPS | Fraude financeira | --- ## Attack Flow ```mermaid graph TB A[🔍 Aquisição de Base<br/>Vazamento público/dark web] --> B[🗂️ Preparação das Listas<br/>Limpeza, deduplicação, filtragem] B --> C[⚙️ Configuração da Ferramenta<br/>OpenBullet / SilverBullet / Sentry MBA] C --> D[🌐 Infraestrutura de Evasão<br/>Proxies residenciais / rotação de IPs] D --> E[🤖 Execução Automatizada<br/>Teste massivo de credenciais] E --> F{Credencial Válida?} F -- Não --> G[❌ Log de Falha<br/>Próxima credencial] F -- Sim --> H[✅ Hit Confirmado<br/>Acesso à conta] G --> E H --> I[📦 Extração de Dados<br/>PII, tokens, dados financeiros] H --> J[🔄 Pivô Corporativo<br/>T1078 Valid Accounts] H --> K[💰 Monetização<br/>Fraude, revenda, acesso VIP] I --> L[📤 Exfiltração] J --> M[🏢 Comprometimento de Rede] ``` --- ## Exemplos de Uso ### Chimera (APT41 afiliado) O grupo [[g0114-chimera|Chimera]], associado a operações de espionagem voltadas para o setor de semicondutores e aviação no leste asiático, utilizou credential stuffing como vetor inicial de acesso a portais corporativos de VPN. A partir de credenciais obtidas de vazamentos do LinkedIn e de plataformas de e-mail, o grupo conseguiu acesso autenticado a ambientes Microsoft 365 e Azure AD, estabelecendo persistência via [[t1556-006-multi-factor-authentication|T1556.006 - Modificação de MFA]]. ### Ataques a bancos brasileiros (2023-2025) Múltiplos incidentes documentados pelo CERT.br e por empresas de threat intelligence como a Tempest Security Intelligence envolveram credential stuffing contra portais de internet banking brasileiros. Atacantes utilizaram bases de dados de e-commerces comprometidos (cujas senhas coincidem com as bancárias dos usuários) para tentar acessar contas no Bradesco, Itaú, Nubank e bancos digitais. A técnica é frequentemente combinada com [[t1566-phishing|T1566 - Phishing]] para obter códigos de autenticação de dois fatores em tempo real (ataque AiTM). ### Comprometimento de plataformas SaaS Em 2024, múltiplas empresas de médio porte na América Latina tiveram suas instâncias de Salesforce, HubSpot e Microsoft 365 comprometidas via credential stuffing. Os adversários exploraram a ausência de MFA e políticas de senha fracas para estabelecer acesso persistente, frequentemente permanecendo não detectados por semanas. ### TrickBot e automatização O [[s0266-trickbot|TrickBot]] incorporou módulos de credential stuffing em sua cadeia de ataque, usando credenciais roubadas por módulos de injeção web para testar acesso a outros serviços - uma forma de lateral movement baseada em credenciais reutilizadas dentro do mesmo ambiente de vítima. --- ## Detecção ### Indicadores comportamentais - Volume anormal de tentativas de autenticação com falha em curto período - Múltiplos logins de IPs geograficamente dispersos para a mesma conta - Logins bem-sucedidos a partir de ASNs associados a proxies residenciais (Bright Data, Oxylabs, IPRoyal) - User-Agents variando rapidamente para o mesmo usuário - Padrão de "baixa e lenta" - poucas tentativas por IP, mas de muitos IPs simultaneamente ### Regra Sigma - Detecção de Credential Stuffing via Volume de Falhas ```yaml title: Credential Stuffing - High Volume Authentication Failures status: experimental description: Detecta volume elevado de falhas de autenticação com IPs distintos em curto período - padrão típico de credential stuffing logsource: category: authentication product: windows detection: selection: EventID: - 4625 - 4771 Status: - "0xC000006A" - "0xC0000064" timeframe: 5m condition: selection | count() by IpAddress > 20 fields: - IpAddress - TargetUserName - LogonType - WorkstationName level: high tags: - attack.credential_access - attack.t1110.004 falsepositives: - Testes automatizados de login legítimos - Usuários que esqueceram a senha ``` ### Regra Sigma - Detecção de Acesso Bem-Sucedido após Múltiplas Falhas ```yaml title: Successful Login After Multiple Failures - Credential Stuffing Hit status: experimental description: Login bem-sucedido precedido de múltiplas falhas do mesmo IP - indica hit de credential stuffing logsource: category: authentication product: azure service: signin detection: failures: ResultType: "50126" IPAddress|contains: "*" success: ResultType: "0" condition: failures | count() by IPAddress > 5 and success level: high tags: - attack.credential_access - attack.t1110.004 ``` ### Fontes de log prioritárias | Fonte | Eventos-chave | Ferramenta | |---|---|---| | Windows Security Log | EventID 4625, 4624, 4771 | SIEM (Splunk, Sentinel) | | Azure AD Sign-in Logs | ResultType, IPAddress, UserAgent | Microsoft Sentinel | | VPN / SSL Gateway | Auth failures por IP | Splunk / QRadar | | WAF / CDN | Request raté por IP em endpoints de login | Cloudflare, AWS WAF | | Identity Provider (Okta) | Suspicious activity reports | Okta ThreatInsight | --- ## Mitigação | ID | Mitigação | Descrição | |---|---|---| | [[m1032-multi-factor-authentication\|M1032]] | Multi-Factor Authentication | MFA é a contramedida mais eficaz - mesmo que a senha sejá válida, o acesso é bloqueado sem o segundo fator | | [[m1036-account-use-policies\|M1036]] | Account Use Policies | Implementar lockout após N tentativas, cooldown progressivo, alertas em tentativas suspeitas | | [[m1027-password-policies\|M1027]] | Password Policies | Exigir senhas únicas e complexas; verificar contra bases de senhas vazadas (Have I Been Pwned API) | | [[m1018-user-account-management\|M1018]] | User Account Management | Desativar contas inativas, revisar acessos periodicamente, limitar permissões ao mínimo necessário | **Controles adicionais recomendados:** - **CAPTCHA adaptativo** em endpoints de login de alta criticidade - **Device fingerprinting** para identificar clientes não reconhecidos - **IP reputation feeds** integrados ao WAF para bloquear ASNs de proxies conhecidos - **Passwordless authentication** (FIDO2/WebAuthn) elimina o vetor completamente - **Threat intelligence de credenciais** (SpyCloud, Have I Been Pwned Enterprise) para monitorar vazamentos antes que atacantes os usem --- ## Contexto Brasil/LATAM O Brasil é sistematicamente citado nos relatórios de segurança como um dos maiores mercados de credenciais vazadas da América Latina. Alguns fatores específicos ampliam a superfície de ataque no contexto regional: **Volume de vazamentos nacionais:** Incidentes como o Vazamento dos 220 Milhões de CPFs (2021), os vazamentos do Detran-SP, e comprometimentos de e-commerces como Américanas e Magalu resultaram em bases massivas de credenciais disponíveis na dark web. **Reutilização de senhas:** Estudos de empresas como PSafe e Tempest indicam que mais de 60% dos usuários brasileiros reutilizam senhas entre serviços. A cultura de uso de senhas fracas baseadas em CPF, data de nascimento e nome do pet é amplamente documentada. **Alvo prioritário: setor financeiro:** O Brasil possui o maior número de transações via Pix do mundo, tornando contas bancárias alvos de alto valor. Grupos como [[g1004-lapsus|LAPSUS$]] (com membros brasileiros) e gangues de fraude como a [[g0049-oilrig|OilRig]]-afiliadas têm histórico documentado de operações de credential stuffing contra instituições financeiras nacionais. **Plataformas SaaS corporativas:** Com a digitalização acelerada pós-pandemia, empresas de médio porte adotaram Microsoft 365, Google Workspace e plataformas de RH sem implementar MFA. Esse ambiente é extremamente vulnerável a credential stuffing, especialmente quando funcionários usam e-mails corporativos em serviços pessoais. **Grupos ativos regionalmente:** - [[g1004-lapsus|LAPSUS$]] - grupo com conexões brasileiras, histórico de credential stuffing massivo - Grupos de fraude financeira como Prilex e Grandoreiro (malware bancário) frequentemente complementam campanhas com credential stuffing - [[g0114-chimera|Chimera]] e grupos APT asiáticos com histórico de operações em empresas multinacionais com presença no Brasil --- ## Referências - [MITRE ATT&CK - T1110.004](https://attack.mitre.org/techniques/T1110/004) - [CERT.br - Relatório de Ataques de Credenciais 2024](https://www.cert.br/) - [SpyCloud - 2024 Annual Identity Exposure Report](https://spycloud.com/) - [Have I Been Pwned - Database Statistics](https://haveibeenpwned.com/) - [CISA - Protecting Against Credential Stuffing](https://www.cisa.gov/) - [Tempest Security Intelligence - Relatório de Ameaças LATAM](https://www.tempest.com.br/) - [OWASP - Credential Stuffing Prevention Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet.html) **Notas relacionadas:** [[t1110-brute-force|T1110 - Brute Force]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1566-phishing|T1566 - Phishing]] · [[t1556-006-multi-factor-authentication|T1556.006 - MFA Modification]] · [[t1558-steal-or-forge-kerberos-tickets|T1558 - Kerberos Tickets]] · [[g0114-chimera|Chimera]] · [[s0266-trickbot|TrickBot]] · [[g1004-lapsus|LAPSUS$]] · [[m1032-multi-factor-authentication|M1032 - MFA]]