# T1556.006 - Multi-Factor Authentication ## Descrição **T1556.006 - Modify Authentication Process: Multi-Factor Authentication** descreve a técnica pela qual adversários que já possuem acesso inicial a um ambiente **desativam, modificam ou contornam mecanismos de autenticação multifator (MFA)** para garantir acesso persistente e irrestrito a contas comprometidas. Esta sub-técnica é uma das mais críticas no portfólio de [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] porque ataca diretamente o principal controle de segurança recomendado para proteção de identidade. Uma vez que o MFA é removido ou subvertido, o adversário pode retornar livremente à conta mesmo após reset de senha, pois controla o segundo fator. O MFA é frequentemente citado como a contramedida mais eficaz contra ataques de identidade - sua desativação ou modificação representa um upgrade significativo no nível de persistência obtida pelo adversário, transformando acesso transitório em acesso duradouro. A técnica é especialmente perigosa em ambientes cloud e SaaS, onde não há perímetro de rede para limitar o acesso após comprometimento de credenciais. > **Técnica pai:** [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] --- ## Como Funciona Existem múltiplos vetores para modificar ou desativar o MFA, dependendo do ambiente e do nível de acesso do adversário: ### 1. Exclusão de políticas de Acesso Condicional (Azure AD / Entra ID) O adversário com privilégios de Administrador Global ou de Acesso Condicional pode criar exceções nas políticas do Azure AD que excluem contas-alvo da exigência de MFA. Isso é frequentemente feito de forma cirúrgica para evitar alertas, excluindo apenas uma conta administrativa ou de serviço. ### 2. Registro de novo método MFA adversarial Após o comprometimento inicial, o adversário registra um dispositivo ou número de telefone controlado por ele como método MFA adicional na conta da vítima. A conta legítima continua funcionando normalmente - o adversário apenas adiciona uma backdoor de autenticação. Essa abordagem é preferida por grupos como [[g1015-scattered-spider|Scattered Spider]] por ser silenciosa e não alertar a vítima imediatamente. ### 3. Modificação do arquivo hosts para redirecionamento MFA Em ambientes Windows, o adversário modifica `C:\windows\system32\drivers\etc\hosts` para redirecionar o endpoint de válidação MFA para `127.0.0.1` (localhost). Se a política de MFA for configurada como **"fail open"** (permitir acesso em caso de falha do segundo fator), o processo de autenticação completará sem válidar o MFA. ### 4. Patch manual de software MFA Em ambientes on-premises com soluções MFA legadas, o adversário com acesso privilegiado pode modificar diretamente os binários ou arquivos de configuração do software MFA para bypass de válidação. ### 5. Abuso de ferramentas de administração de identidade Ferramentas como [[s0677-aadinternals|AADInternals]] (toolkit PowerShell para Azure AD) permitem que administradores - ou adversários com tokens administrativos - desabilitem MFA para usuários individuais ou em massa via Graph API, sem necessidade de acesso à interface web do Azure Portal. ### 6. Exploração de "legacy authentication" Protocolos legados como IMAP, POP3, SMTP AUTH, e autenticação básica do Exchange Online não suportam MFA. Adversários podem habilitar esses protocolos e usá-los para autenticar com apenas usuário e senha, contornando completamente o MFA configurado nas políticas modernas. --- ## Attack Flow ```mermaid graph TB A[🎯 Acesso Inicial Obtido<br/>Phishing / Credential Stuffing / MFA Fatigue] --> B{Nível de Acesso} B -- Usuário Comum --> C[👤 Registrar Novo Método MFA<br/>Dispositivo adversarial] B -- Administrador --> D[⚙️ Modificar Política de Acesso Condicional<br/>Excluir conta da exigência de MFA] B -- Sistema/On-Premises --> E[📝 Modificar hosts / Config MFA<br/>Redirecionamento para localhost] B -- Token Administrativo --> F[🛠️ AADInternals / Graph API<br/>Desativar MFA programaticamente] C --> G[🔐 Backdoor MFA Instalada<br/>Adversário controla segundo fator] D --> G E --> G F --> G G --> H[♾️ Persistência Estabelecida<br/>Acesso irrestrito mesmo após reset de senha] H --> I[🔍 Reconhecimento Interno<br/>Mapeamento de privilégios e dados] H --> J[🔄 Movimento Lateral<br/>T1078 Valid Accounts em outros serviços] H --> K[📤 Exfiltração de Dados<br/>Email, SharePoint, OneDrive, CRM] I --> L[💥 Impacto Final<br/>Ransomware / Espionagem / Fraude] J --> L K --> L ``` --- ## Exemplos de Uso ### Scattered Spider - Campanha MGM Resorts (2023) O grupo [[g1015-scattered-spider|Scattered Spider]] (também conhecido como UNC3944 e Muddled Libra) é o caso mais emblemático de uso desta técnica. Na campanha de setembro de 2023 contra a MGM Resorts, o grupo utilizou **vishing** (engenharia social por telefone) para convencer o suporte de TI a resetar o MFA de um funcionário. Após obter acesso, o grupo registrou seus próprios dispositivos como métodos MFA adicionais em múltiplas contas administrativas do Azure AD, garantindo persistência. A MGM reportou prejuízos de aproximadamente 100 milhões de dólares. Técnica similar foi usada contra Caesars Entertainment, que pagou cerca de 15 milhões de dólares de resgate. ### SLOWPULSE - Bypass de MFA em Pulse Secure O malware [[s1104-slowpulse|SLOWPULSE]], atribuído a atores de espionagem chineses (provavelmente APT5), foi desenvolvido específicamente para interceptar e suprimir verificações de MFA em appliances Pulse Secure VPN comprometidos. O malware modifica o processo de autenticação no nível do firmware/software para aceitar qualquer segundo fator ou nenhum segundo fator, criando uma backdoor irrestrita de acesso à VPN corporativa. ### AADInternals em operações de Red Team e APTs A ferramenta [[s0677-aadinternals|AADInternals]], desenvolvida pelo pesquisador Dr. Nestori Syynimaa para fins de pesquisa, foi adotada por grupos APT para modificação de configurações de MFA no Azure AD. Em investigações documentadas pela Microsoft e pela Mandiant, tokens de acesso com privilégios de Global Administrator foram usados para chamar a API `Set-AADIntUserMFA` e desativar o MFA de contas-alvo em segundos. ### Comprometimentos de identity providers no setor financeiro LATAM Instituições financeiras brasileiras que migraram para Azure AD híbrido sem configurar políticas de Acesso Condicional adequadas foram alvejadas por grupos de cibercrime que, após obter acesso administrativo via [[t1110-004-credential-stuffing|T1110.004 - Credential Stuffing]], modificaram configurações de MFA para estabelecer persistência em contas de tesouraria e operações financeiras. --- ## Detecção ### Indicadores comportamentais - Alterações em políticas de Acesso Condicional do Azure AD sem ticket de mudança - Registro de novo método MFA (telefone, app autenticador) de IP ou localização incomuns - Alterações no arquivo `hosts` em sistemas Windows (especialmente em servidores de autenticação) - Execução de cmdlets AADInternals via PowerShell em ambientes Azure AD - Habilitação de protocolos de autenticação legados (IMAP, POP3, SMTP AUTH) previamente desabilitados - Usuários com MFA desabilitado que anteriormente o tinham ativo ### Regra Sigma - Modificação de Política MFA no Azure AD ```yaml title: Azure AD MFA Policy Modification status: experimental description: Detecta modificações em políticas de Acesso Condicional que podem desativar ou contornar o MFA para usuários específicos logsource: product: azure service: auditlogs detection: selection: OperationName: - "Updaté conditional access policy" - "Delete conditional access policy" - "Updaté per-user MFA" Result: "success" filter_expected: InitiatedBy|contains: - "AutomationAccount" - "DeploymentPipeline" condition: selection and not filter_expected fields: - InitiatedBy - TargetResources - AdditionalDetails level: high tags: - attack.credential_access - attack.t1556.006 falsepositives: - Administradores de identidade realizando manutenção planejada ``` ### Regra Sigma - Registro de Novo Método MFA ```yaml title: New MFA Method Registered - Potential Adversarial Backdoor status: experimental description: Detecta registro de novo método de autenticação MFA que pode indicar instalação de backdoor de autenticação por adversário logsource: product: azure service: auditlogs detection: selection: OperationName: - "User registered security info" - "User registered all required security info" - "Admin registered security info for user" Result: "success" suspicious_ip: IPAddress|cidr: - "0.0.0.0/0" condition: selection fields: - InitiatedBy - TargetResources - IPAddress - UserAgent level: medium tags: - attack.credential_access - attack.t1556.006 ``` ### Fontes de log prioritárias | Fonte | Eventos-chave | Ferramenta | |---|---|---| | Azure AD Audit Logs | Modify MFA, CA Policy changes | Microsoft Sentinel | | Okta System Logs | user.mfa.factor.deactivaté | Splunk / Okta SIEM | | Windows Event Log | Modificação de arquivo hosts (Sysmon EventID 11) | Sysmon + SIEM | | Microsoft Defender for Identity | MFA bypass alerts | Defender portal | | CrowdStrike Falcon Identity | MFA policy changes | Falcon platform | --- ## Mitigação | ID | Mitigação | Descrição | |---|---|---| | [[m1032-multi-factor-authentication\|M1032]] | Multi-Factor Authentication | Usar MFA resistente a phishing (FIDO2/WebAuthn) em vez de SMS ou TOTP - mais difícil de registrar por adversários sem controle físico do dispositivo | | [[m1018-user-account-management\|M1018]] | User Account Management | Implementar aprovação dupla (4-eyes principle) para registro de novos métodos MFA e modificações de políticas de Acesso Condicional | | [[m1047-audit\|M1047]] | Audit | Monitorar continuamente alterações em políticas de MFA, Acesso Condicional e registros de dispositivos; gerar alertas para qualquer modificação | **Controles adicionais recomendados:** - **Privileged Identity Management (PIM):** Exigir justificativa e aprovação para ativação de roles administrativas no Azure AD - limita jánela de oportunidade mesmo com credenciais comprometidas - **Conditional Access - Trusted Locations:** Restringir registro de novos métodos MFA a redes corporativas confiáveis, bloqueando registro remoto - **Number Matching e Additional Context:** Habilitar matching de número e exibição de contexto de localização no Microsoft Authenticator - dificulta ataques MFA fatigue - **Desabilitar autenticação legada:** Bloquear IMAP, POP3, SMTP AUTH, autenticação básica no Exchange Online via políticas de Acesso Condicional - **Revisão periódica de métodos MFA registrados:** Auditar dispositivos registrados para cada usuário privilegiado mensalmente --- ## Contexto Brasil/LATAM No contexto brasileiro e latino-americano, a modificação e contorno de MFA é uma técnica crescente, impulsionada por fatores específicos da região: **Adoção incompleta de MFA:** Pesquisa da Duo Security de 2024 indica que apenas 34% das organizações brasileiras de médio porte têm MFA obrigatório para todos os usuários - e mesmo onde há MFA, frequentemente é implementado apenas para acesso VPN ou e-mail, deixando outros serviços SaaS desprotegidos. **Engenharia social eficaz:** Grupos de cibercrime brasileiros como os operadores do [[s0531-grandoreiro|Grandoreiro]] e do [[maxtrilha|Maxtrilha]] (malware bancário) desenvolveram técnicas sofisticadas de engenharia social direcionadas ao suporte de TI de bancos, seguradoras e empresas de telecomúnicações para obter resets de MFA via telefone - similar ao modus operandi do [[g1015-scattered-spider|Scattered Spider]]. **SIM Swapping:** O Brasil tem uma das maiores taxas de fraude de portabilidade numérica (SIM swapping) do mundo, segundo a Anatel e a Polícia Federal. SIM swapping efetivamente modifica o MFA de SMS da vítima para um SIM controlado pelo adversário, tornando obsoleta qualquer proteção baseada em SMS OTP. **Governo e setor público:** Órgãos governamentais brasileiros que migraram para Microsoft 365 via convênios GSA (Governo Serviços Azure) frequentemente não implementaram Acesso Condicional adequado, deixando portais como GOV.BR e sistemas SIAFI vulneráveis a modificações de MFA por atores com acesso administrativo comprometido. **Grupos ativos com histórico documentado:** - [[g1015-scattered-spider|Scattered Spider]] - histórico global; mencionado em alertas do CISA e FBI com técnicas aplicáveis a empresas multinacionais com presença no Brasil - Grupos de SIM swapping organizados - estrutura de crime organizado com ramificações em SP, RJ e nordeste brasileiro - Atores de espionagem industrial - alvejam empresas de energia, petróleo e mineração no Brasil com técnicas de persistência via modificação de MFA --- ## Referências - [MITRE ATT&CK - T1556.006](https://attack.mitre.org/techniques/T1556/006) - [CISA / FBI - Scattered Spider Advisory (AA23-320A)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a) - [Microsoft - Defending Against MFA Bypass](https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/) - [Mandiant - UNC3944 Tactics (Scattered Spider)](https://www.mandiant.com/) - [AADInternals - Dr. Nestori Syynimaa](https://aadinternals.com/) - [ANATEL - Relatório de Fraudes de Portabilidade Numérica 2024](https://www.anatel.gov.br/) - [Tempest Security - Relatório de Ameaças Financeiras Brasil 2024](https://www.tempest.com.br/) **Notas relacionadas:** [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] · [[t1110-004-credential-stuffing|T1110.004 - Credential Stuffing]] · [[t1621-multi-factor-authentication-request-generation|T1621 - MFA Request Generation]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[g1015-scattered-spider|Scattered Spider]] · [[s0677-aadinternals|AADInternals]] · [[s1104-slowpulse|SLOWPULSE]] · [[m1032-multi-factor-authentication|M1032 - MFA]] · [[m1047-audit|M1047 - Audit]]