# T1556.007 - Hybrid Identity > [!info] Identificação MITRE ATT&CK > **Tática:** Credential Access · **ID:** T1556.007 · **Plataformas:** Windows, SaaS, IaaS, Office Suite, Identity Provider · **Técnica pai:** [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] ## Descrição T1556.007 - Hybrid Identity descreve uma classe sofisticada de ataques onde adversários modificam ou inserem backdoors nos processos de autenticação que conectam infraestrutura on-premises (Active Directory) com ambientes de nuvem (Microsoft Entra ID, anteriormente Azure AD). Essa técnica permite que atacantes contornem mecanismos de autenticação típicos, capturem credenciais em trânsito e mantenham acesso persistente a contas tanto locais quanto em nuvem. A técnica explora uma realidade arquitetural de organizações modernas: a maioria das empresas opera em ambientes **híbridos**, onde identidades de usuários existem simultaneamente no Active Directory on-premises e em plataformas de nuvem como Microsoft 365, Azure, AWS ou GCP. Esses ambientes requerem mecanismos de sincronização e federação de identidade que, por operarem em servidores privilegiados com acesso tanto ao AD quanto à nuvem, representam um vetor de ataque de alto valor. O [[g0016-apt29|APT29]] (Cozy Bear/Midnight Blizzard), vinculado ao SVR russo, é o grupo de ameaça mais documentado nessa técnica - tendo a utilizado extensivamente durante a **Operação SolarWinds** em 2020 e em campanhas subsequentes contra governos e provedores de tecnologia globais. A técnica permite que o adversário, após comprometer um servidor on-premises, obtenha acesso irrestrito a todos os recursos em nuvem da organização, persistindo mesmo após a remoção do acesso inicial. > [!danger] Técnica de APT Sofisticado > Esta técnica requer alto nível de acesso inicial (compromisso de servidor que executa agentes de sincronização de identidade) e conhecimento aprofundado da arquitetura de identidade híbrida. É característica de APTs state-sponsored com objetivos de espionagem de longo prazo. ### Métodos de Sincronização de Identidade Exploráveis **Password Hash Synchronization (PHS)**: O Microsoft Entra Connect (anteriormente Azure AD Connect) roda em um servidor on-premises e sincroniza hashes de senhas do AD para o Entra ID. O serviço usa uma conta privilegiada (`MSOL_*`) com permissões elevadas no AD. Comprometer esse servidor e injetar uma DLL maliciosa no processo `AzureADConnectAuthenticationAgentService` permite capturar todas as senhas sincronizadas. **Pass-Through Authentication (PTA)**: O agente PTA válida credenciais diretamente contra o AD on-premises em tempo real. Adversários que comprometem o servidor do agente PTA podem injetar código que autoriza qualquer tentativa de autenticação (backdoor universal) e registra credenciais em texto claro. **Active Directory Federation Services (AD FS)**: Estabelece uma relação de confiança federada entre o AD e o Entra ID (e potencialmente AWS, GCP e outros SaaS). Modificar o arquivo de configuração `Microsoft.IdentityServer.Servicehost` para carregar uma DLL maliciosa permite gerar tokens SAML válidos para qualquer usuário, com qualquer conjunto de claims - efetivamente contornando MFA e qualquer política de acesso condicional. ## Como Funciona O ataque a ambientes de Hybrid Identity geralmente segue uma progressão de quatro fases principais: **Fase 1 - Comprometimento Inicial da Rede On-Premises** O adversário obtém acesso inicial à rede corporativa através de [[t1566-phishing|spear-phishing]], exploração de vulnerabilidades em serviços expostos ou comprometimento da cadeia de suprimentos (como no caso SolarWinds). O objetivo é escalar privilégios até obter acesso ao servidor que executa o Microsoft Entra Connect, AD FS ou o agente PTA. **Fase 2 - Identificação dos Componentes de Sincronização** O adversário mapeia a arquitetura de identidade híbrida: qual método de sincronização está em uso (PHS, PTA ou AD FS), qual servidor executa os componentes, quais contas de serviço possuem privilégios de replicação de diretório. **Fase 3 - Injeção do Backdoor** Dependendo do método identificado: - **PTA**: Injeção de DLL maliciosa no processo `AzureADConnectAuthenticationAgentService` que intercepta e aprova toda autenticação - **AD FS**: Modificação do pipeline de issuance do AD FS para incluir um "magic password" (como o backdoor SAML documentado no caso SolarWinds) - **PHS**: Extração de hashes via abuso das permissões da conta `MSOL_*` (DCSync equivalente) - **Via Cloud**: Registro de novo agente PTA via console web do Entra ID, caso o adversário comprometa uma conta Global Administrator **Fase 4 - Abuso e Persistência** Com o backdoor ativo, o adversário pode autenticar como qualquer usuário na plataforma de nuvem, inclusive como administradores globais, acessar dados sensíveis no Microsoft 365, SharePoint, OneDrive e Azure, e manter persistência que sobrevive a resets de senha - pois a autenticação é interceptada antes de verificar a senha real. ## Attack Flow ```mermaid graph TB A["🎣 Acesso Inicial<br/>Spear-Phishing / Supply Chain"] --> B["🔺 Escalação de Privilégios<br/>para Domain Admin"] B --> C["🗺️ Reconhecimento da Arquitetura<br/>Identificar PTA / PHS / AD FS"] C --> D{"Método de<br/>sincronização?"} D -->|PTA Agent| E["💉 Injeção de DLL<br/>em AzureADConnectAuth..."] D -->|AD FS| F["📝 Modificação de Config<br/>Microsoft.IdentityServer.Servicehost"] D -->|PHS / Entra Connect| G["🔑 Abuso conta MSOL_*<br/>DCSync / Hash Extraction"] D -->|Acesso Cloud (GA)| H["🌐 Registro de Novo<br/>Agente PTA via Console Web"] E --> I["🚪 Backdoor Universal<br/>Autentica qualquer usuário"] F --> I G --> I H --> I I --> J["🔒 Bypass de MFA<br/>Bypass de Conditional Access"] J --> K["👁️ Captura de Credenciais<br/>em Texto Claro"] K --> L["📊 Acesso a Microsoft 365<br/>SharePoint / OneDrive / Exchange"] L --> M["🕵️ Espionagem de Longo Prazo<br/>Exfiltração Silenciosa"] M --> N["⚡ Persistência Duradoura<br/>Sobrevive a Reset de Senhas"] ``` ## Exemplos de Uso ### APT29 - Operação SolarWinds (2020) O [[g0016-apt29|APT29]] utilizou T1556.007 de forma magistral durante a operação que comprometeu a cadeia de suprimentos da SolarWinds. Após obter acesso à rede da SolarWinds via backdoor SUNBURST implantado nas atualizações do Orion, o grupo: 1. Identificou instâncias de Microsoft Entra Connect em redes de clientes 2. Explorou a conta `MSOL_*` para realizar operações de DCSync e extrair hashes 3. Em ambientes com AD FS, implantou o backdoor "GoldenSAML" - um token SAML forjado que permitia autenticação como qualquer usuário sem verificação de senha ou MFA 4. Manteve acesso persistente a emails governamentais dos EUA, incluindo agências como o Tesouro e o Departamento de Comércio, por meses Essa campanha afetou aproximadamente 18.000 organizações globalmente, com impacto documentado em governos europeus, incluindo potencialmente entidades da União Europeia. ### Ferramenta: AADInternals A ferramenta [[s0677-aadinternals|AADInternals]], desenvolvida pelo pesquisador finlandês Dr. Nestori Syynimaa, é a implementação de referência para exploração de ambientes Entra ID. Ela demonstra e documenta múltiplos vetores de T1556.007: - `Set-AADIntPassThroughAuthenticationEnabled`: Habilita PTA e registra agente malicioso - `Install-AADIntPTASpy`: Instala spy no agente PTA para capturar credenciais - `Open-AADIntOffice365Shell`: Abre shell Microsoft 365 como qualquer usuário - `ConvertTo-AADIntBackdoor`: Cria backdoor em AD FS ## Detecção ### Indicadores de Comprometimento - Novo agente PTA registrado inesperadamente no portal do Entra ID - Modificações nos binários ou configurações do Microsoft Entra Connect - Conta `MSOL_*` realizando DCSync ou acessos incomuns ao AD - Autenticações bem-sucedidas de contas de alto privilégio de localizações geográficas incomuns - Tokens SAML com claims incomuns ou oriundos de servidores AD FS não esperados - Processo `AzureADConnectAuthenticationAgentService` carregando DLLs não assinadas ### Regra de Detecção - Sigma ```yaml title: Hybrid Identity - Modificação de Agente PTA ou AD FS status: experimental description: > Detecta modificações suspeitas em componentes de autenticação híbrida incluindo injeção de DLL no agente PTA e alteração de configuração AD FS logsource: category: process_creation product: windows detection: selection_pta_dll: Image|endswith: '\AzureADConnectAuthenticationAgentService.exe' ImageLoaded|not|startswith: - 'C:\Program Files\Microsoft Azure AD Connect Authentication Agent\' - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' selection_adfs_config: EventID: 4663 ObjectName|contains: 'Microsoft.IdentityServer.Servicehost' AccessMask: '0x2' selection_new_pta_agent: EventID: 4688 CommandLine|contains: - 'Register-AzureADConnectAuthenticationAgent' - 'AADInternals' condition: selection_pta_dll or selection_adfs_config or selection_new_pta_agent level: critical tags: - attack.credential_access - attack.persistence - attack.t1556.007 falsepositives: - Atualizações legítimas do Microsoft Entra Connect - Manutenção planejada de AD FS ``` ### Monitoramento no Entra ID | Log Source | Evento | Significância | |---|---|---| | Entra ID Audit Logs | Registro de novo agente PTA | Alta - investigar imediatamente | | AD FS Event Log | EventID 1202, 1200 | Issuance de tokens - verificar claims | | Windows Security | EventID 4662 | Replicação de diretório pela conta MSOL | | Entra ID Sign-in Logs | Logins bem-sucedidos sem MFA esperado | Possível bypass via backdoor | ## Mitigação | ID | Mitigação | Descrição Detalhada | |---|---|---| | [[m1032-multi-factor-authentication\|M1032]] | Multi-Factor Authentication | Implementar MFA resistente a phishing (FIDO2 / passkeys) para todas as contas privilegiadas. Embora T1556.007 possa contornar MFA via backdoor AD FS, restringir quais usuários podem modificar configurações de federação e usar Privileged Identity Management (PIM) reduz a superfície de ataque | | [[m1047-audit\|M1047]] | Audit | Habilitar auditoria detalhada no AD FS e no Microsoft Entra Connect. Monitorar registros de novos agentes PTA no portal Entra ID. Rever regularmente quais servidores hospedam componentes de sincronização de identidade e quem tem acesso administrativo a eles | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Proteger rigidamente o servidor Entra Connect com acesso Just-In-Time (JIT) via PAM solution. A conta `MSOL_*` deve ter escopo mínimo. Usar servidores dedicados (hardened) exclusivamente para componentes de sincronização de identidade, sem uso para outras funções | ### Recomendações Adicionais - **Microsoft Entra Connect Health**: Habilitar e monitorar alertas de saúde e anomalias nos componentes de sincronização - **Privileged Access Workstations (PAW)**: Administrar servidores de sincronização de identidade apenas de PAWs dedicadas - **Revisão periódica de agentes**: Auditar mensalmente os agentes PTA registrados no portal Entra ID - **Isolar servidor Entra Connect**: Segmentar o servidor em VLAN protegida, com acesso controlado por firewall - **Credential Guard**: Habilitar no servidor Entra Connect para proteger contra extração de credenciais da memória ## Contexto Brasil/LATAM A técnica T1556.007 tem relevância crescente no Brasil e LATAM à medida que organizações da região aceleram a adoção de serviços Microsoft 365 e Azure - frequentemente mantendo Active Directory on-premises em arquitetura híbrida. **Adoção de M365 no Brasil**: O Brasil é um dos maiores mercados de Microsoft 365 na América Latina, com alta penetração em setores bancário, varejo, governo e saúde. A maioria dessas implementações usa Microsoft Entra Connect em configuração híbrida, tornando T1556.007 técnicamente aplicável em uma fração significativa das grandes organizações brasileiras. **Campanhas do APT29 com Alcance Global**: O [[g0016-apt29|APT29]] demonstrou capacidade e disposição para operar além de alvos ocidentais convencionais. Entidades governamentais brasileiras com colaboração internacional, think tanks, e empresas de tecnologia com presença global são potencialmente expostas. Embora não hajá casos públicos confirmados de APT29 contra alvos primariamente brasileiros, o modelo operacional da técnica é exportável por qualquer grupo sofisticado. **Grupos de Ransomware Evoluindo**: Operadores de ransomware mais sofisticados, como os afiliados do [[lockbit|LockBit]] e operadores do [[blackcat|ALPHV]], têm documentados ataques que incluem comprometimento de Entra Connect para maximizar o impacto antes de implantar o ransomware. Incidentes em empresas brasileiras de médio e grande porte reportados ao CERT.br incluem padrões consistentes com esse vetor. **Regulação e Compliance**: A Lei Geral de Proteção de Dados (LGPD) e as regulações do Banco Central (Resolução BCB nº 85/2021 e CMN nº 4.893/2021) exigem controles de acesso e monitoramento de identidade que, se bem implementados, podem detectar anomalias associadas a T1556.007. Organizações que implementam Zero Trust Architecture (ZTA) e revisam arquiteturas de identidade híbrida estão melhor posicionadas para resistir a essa técnica. > [!example] Cenário de Risco Típico no Brasil > Empresa brasileira de médio porte com 2.000 usuários usa Microsoft 365 E3 em ambiente híbrido com Entra Connect sincronizando AD local. O servidor Entra Connect roda em uma VM no datacenter corporativo, com acesso de vários administradores via RDP. Um ataque de phishing compromete a conta de um administrador de TI. Em poucas horas, o adversário acessa o servidor Entra Connect, registra um agente PTA malicioso via console web do Entra ID e começa a capturar credenciais de todos os usuários que fazem login no Microsoft 365 - sem alertas visíveis. ## Referências - [MITRE ATT&CK - T1556.007 Hybrid Identity](https://attack.mitre.org/techniques/T1556/007) - [Microsoft - SolarWinds Post-Compromise Hunting](https://www.microsoft.com/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinaté-protection-against-solorigaté/) - [Mandiant - UNC2452 / APT29 Techniques](https://www.mandiant.com/resources/blog/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor) - [AADInternals Documentation](https://aadinternals.com/) - [Microsoft - Securing Hybrid Identity](https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-hybrid-identity) - [CISA Advisory AA21-008A - SolarWinds](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-008a) - [[g0016-apt29|APT29 - Cozy Bear]] - [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] - [[t1566-phishing|T1566 - Phishing]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] --- *Fonte: [MITRE ATT&CK - T1556.007](https://attack.mitre.org/techniques/T1556/007) · Versão MITRE: 16.2 · Atualizado: 2026-03-25*