# T1556.009 - Conditional Access Policies > [!tip] Técnica Pai > Esta é uma sub-técnica de [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]], que abrange diversas formas de manipulação de mecanismos de autenticação para persistência e evasão de defesas. ## Descrição Adversários podem desabilitar ou modificar políticas de acesso condicional (Conditional Access Policies) para manter acesso persistente a contas comprometidas em ambientes de nuvem e provedores de identidade. As políticas de acesso condicional representam uma camada de verificação adicional utilizada por provedores de identidade como Microsoft Entra ID (anteriormente Azure AD), Okta, JumpCloud, AWS IAM e Google Cloud IAM para determinar se um usuário ou entidade deve receber acesso a um recurso específico. Essas políticas funcionam como guardas contextuais: avaliam atributos como endereço IP de origem, status de conformidade do dispositivo, localização geográfica, horário de acesso e uso de autenticação multifator ([[t1556-006-multi-factor-authentication|MFA]]) antes de conceder ou negar acesso. Quando devidamente configuradas, formam uma barreira robusta contra o uso abusivo de credenciais comprometidas - mesmo que um adversário obtenha usuário e senha válidos, as políticas impedem o acesso fora de padrões esperados. Ao modificar essas políticas, adversários que já obtiveram acesso privilegiado ao plano de controle de identidade (como permissões de administrador global no Entra ID ou `iam:PutGroupPolicy` na AWS) conseguem ampliar silenciosamente sua superfície de acesso, removendo restrições que protegeriam contra logins anômalos. Técnicas comuns incluem: adicionar faixas de IP controladas pelo atacante como locais confiáveis, remover requisitos de MFA para usuários privilegiados, desabilitar bloqueios baseados em risco de login, expandir regiões de nuvem permitidas ([[Unsupported Cloud Regions]]) e criar exceções de usuários ou grupos que contornam todas as políticas existentes. Esta técnica é especialmente relevante em ataques de ransomware direcionado a ambientes híbridos (on-premise + nuvem), onde adversários como [[g1053-storm-0501|Storm-0501]] e [[g1015-scattered-spider|Scattered Spider]] comprometem identidades privilegiadas e reescrevem políticas antes de iniciar o movimento lateral e a exfiltração de dados. > [!warning] Impacto Potencial > A modificação silenciosa de políticas de acesso condicional pode permitir que um adversário mantenha acesso persistente por semanas ou meses sem ser detectado, especialmente se as mudanças forem incrementais e não gerarem alertas imediatos. ## Como Funciona A exploração desta técnica envolve quatro fases principais: **1. Obtenção de Acesso Privilegiado ao Plano de Controle** O adversário precisa primeiro obter credenciais com permissões administrativas sobre o sistema de identidade. Isso geralmente ocorre por meio de [[t1078-valid-accounts|Valid Accounts]] comprometidas com privilégios de administrador global (Entra ID), `SecurityAdmin` (AWS IAM) ou equivalentes. Técnicas de suporte incluem phishing direcionado, spraying de senhas ou exploração de credenciais vazadas. **2. Reconhecimento das Políticas Existentes** Antes de modificar, o adversário enumera as políticas vigentes usando APIs nativas (Microsoft Graph API, AWS CLI `iam:GetPolicy`, GCP `gcloud iam policies get`). Isso permite identificar quais políticas bloqueiam acesso de IPs externos, exigem MFA ou restringem regiões. **3. Modificação Cirúrgica das Políticas** O adversário realiza alterações mínimas e direcionadas para evitar detecção: adiciona um IP confiável, cria uma exceção para uma conta de serviço específica, ou desabilita temporariamente uma política de risco elevado. Em ambientes Entra ID, isso pode ser feito via portal Azure, PowerShell (`Set-AzureADMSConditionalAccessPolicy`) ou Microsoft Graph API. **4. Uso da Jánela de Acesso Aberta** Com as restrições removidas, o adversário utiliza as credenciais comprometidas para autenticar de localizações ou dispositivos que antes seriam bloqueados, sem acionar alertas de acesso anômalo - pois o acesso agora está dentro das políticas modificadas. **Exemplo em AWS IAM:** ```json { "Effect": "Allow", "Action": "*", "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["203.0.113.0/24"] } } } ``` Adicionar um bloco de IP controlado pelo adversário como condição permite acesso irrestrito a partir daquele range. ## Attack Flow ```mermaid graph TB A[Acesso Inicial<br/>Credenciais Privilegiadas Comprometidas] --> B[Reconhecimento<br/>Enumerar Políticas de Acesso Condicional] B --> C[Identificação<br/>Políticas que bloqueiam acesso externo / MFA] C --> D{Tipo de Modificação} D --> E[Adicionar IP confiável<br/>controlado pelo adversário] D --> F[Remover requisito<br/>de MFA para admins] D --> G[Criar exceção de usuário<br/>ou grupo específico] D --> H[Habilitar regiões<br/>de nuvem não utilizadas] E --> I[Acesso Persistente<br/>Sem Alertas de Anomalia] F --> I G --> I H --> I I --> J[Movimento Lateral<br/>e Exfiltração de Dados] I --> K[Deploy de Ransomware<br/>Storm-0501 / Scattered Spider] ``` ## Exemplos de Uso ### Scattered Spider - Operações 2023-2024 O grupo [[g1015-scattered-spider|Scattered Spider]] (também conhecido como UNC3944) ficou notório por ataques altamente sofisticados à indústria de hospitalidade e telecomúnicações nos EUA, incluindo MGM Resorts e Caesars Entertainment. Em múltiplos incidentes, o grupo comprometeu contas de administradores de identidade via engenharia social direcionada ao helpdesk (vishing), obtendo acesso ao Okta e Entra ID das vítimas. Uma vez dentro do painel de administração de identidade, o grupo modificou políticas de acesso condicional para adicionar dispositivos não gerenciados como exceções, removeu requisitos de MFA para contas de serviço críticas e adicionou seus próprios IPs como locais confiáveis. Isso permitiu movimentação lateral extensiva e, no caso da MGM Resorts, causou prejuízos estimados em mais de 100 milhões de dólares. ### Storm-0501 - Ataques a Ambientes Híbridos [[g1053-storm-0501|Storm-0501]] é um grupo de ameaça financeiramente motivado que opera como afiliado de múltiplas operações de ransomware-as-a-service (RaaS). O grupo é conhecido por visar organizações com ambientes híbridos (Active Directory on-premise + Entra ID). Após comprometer contas com privilégios de Hybrid Identity Administrator, o grupo modifica políticas de sincronização e acesso condicional para garantir que credenciais replicadas do AD local possam ser usadas na nuvem sem restrições, preparando o terreno para deploy de ransomware como Embargo e BlackSuit. > [!example] Comandos PowerShell Típicos Observados > ```powershell > # Enumerar políticas existentes > Get-AzureADMSConditionalAccessPolicy > > # Modificar política existente - desabilitar MFA para grupo específico > Set-AzureADMSConditionalAccessPolicy -PolicyId <ID> -State "disabled" > > # Criar nova política de exclusão via Graph API > New-AzureADMSConditionalAccessPolicy -DisplayName "Break Glass Temp" ... > ``` ## Detecção A detecção eficaz depende do monitoramento rigoroso de eventos de auditoria em todos os planos de controle de identidade. Logs de modificação de políticas de acesso condicional devem ser tratados como eventos de alta prioridade e correlacionados com contexto de identidade. **Fontes de log prioritárias:** - **Microsoft Entra ID:** `AuditLogs` - categoria `Policy`, operações `Updaté conditional access policy`, `Add conditional access policy` - **AWS CloudTrail:** `PutGroupPolicy`, `PutUserPolicy`, `PutRolePolicy`, `CreatePolicy`, `AttachRolePolicy` - **Okta System Log:** `policy.lifecycle.updaté`, `policy.rule.updaté` - **GCP Audit Logs:** `SetIamPolicy`, `UpdatePolicy` ```yaml title: Modificação de Política de Acesso Condicional no Entra ID status: experimental logsource: product: azure service: auditlogs detection: selection: ActivityDisplayName: - "Updaté conditional access policy" - "Add conditional access policy" - "Delete conditional access policy" Result: "success" filter_break_glass: InitiatedBy.user.displayName|contains: "BreakGlass" condition: selection and not filter_break_glass falsepositives: - Administradores realizando mudanças planejadas de política - Operações de migração de identidade level: high tags: - attack.credential_access - attack.t1556.009 - attack.persistence - attack.defense_evasion ``` **Indicadores comportamentais adicionais a monitorar:** - Modificações de política fora do horário comercial ou em fins de semana - Múltiplas modificações de política por um único usuário em curto intervalo de tempo - Adição de faixas de IP externas como localizações confiáveis - Desabilitação de políticas que exigem MFA para administradores - Criação de exceções de usuário em políticas críticas de segurança - Correlação com login bem-sucedido de IP geolocalizado fora do padrão histórico logo após a modificação ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Restringir ao máximo as permissões para modificar políticas de acesso condicional. Aplicar princípio do menor privilégio: apenas contas de administrador de segurança dedicadas devem ter permissão de editar políticas. Utilizar contas Privileged Access Workstation (PAW) para operações de administração de identidade. | **Controles complementares recomendados:** - **Revisão periódica de políticas:** auditar políticas de acesso condicional semanalmente e após qualquer incidente de segurança - **Alerta em tempo real:** configurar alertas no SIEM para qualquer modificação de política de acesso condicional, independentemente do usuário - **Aprovação multi-party:** exigir aprovação de segundo administrador para alterações em políticas críticas (dual control) - **Versionamento:** manter histórico de versões das políticas para facilitar rollback e análise forense - **Proteção de contas break-glass:** garantir que contas de acesso emergêncial não possam ser usadas para modificar políticas de rotina - **Microsoft Entra ID Protection:** habilitar políticas de risco de identidade que bloqueiam automaticamente logins de risco elevado, complementando as políticas manuais ## Contexto Brasil/LATAM A relevância desta técnica para o contexto brasileiro e latino-americano cresceu significativamente com a aceleração da migração para ambientes de nuvem híbrida nas organizações do setor financeiro, governo e telecomúnicações da região. **Cenário regulatório:** A Resolução CMN 4.658/2018 e a Circular BACEN 3.909/2018 exigem que instituições financeiras brasileiras implementem controles robustos de acesso a ambientes de nuvem, incluindo monitoramento de modificações de políticas de acesso. O NIST CSF e ISO 27001 também são amplamente adotados no Brasil como frameworks de referência. **Grupos de ameaça relevantes para a região:** - [[g1015-scattered-spider|Scattered Spider]] tem histórico de vitimizar empresas de telecomúnicações, setor presente na América Latina com grandes operadoras como Claro, Vivo e TIM - Grupos de ransomware afiliados ao ecossistema RaaS (BlackCat, LockBit, Embargo) utilizam técnicas similares em ataques a empresas brasileiras - O [[cert-br|CERT.br]] reportou aumento de 40% em incidentes envolvendo comprometimento de identidades em nuvem entre 2023 e 2024 no Brasil **Recomendações específicas para o Brasil:** - Organizações que utilizam Microsoft 365/Entra ID devem habilitar o Microsoft Entra ID Protection com políticas de risco automáticas - Integrar logs de auditoria do Entra ID e AWS CloudTrail ao SIEM com alertas específicos para modificações de política - Treinamento de equipes de segurança em técnicas de identidade cloud, área ainda com carência de especialistas no mercado brasileiro **Referências normativas nacionais:** - [[2018]] - segurança em nuvem para IFs - [[lgpd|Lei Geral de Proteção de Dados (LGPD)]] - requisitos de proteção de acesso a dados pessoais ## Referências - [MITRE ATT&CK - T1556.009](https://attack.mitre.org/techniques/T1556/009) - [Microsoft - What is Conditional Access?](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview) - [CISA Advisory - Scattered Spider](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a) - [Microsoft Threat Intelligence - Storm-0501](https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/) - [CrowdStrike - 2024 Threat Hunting Report (Scattered Spider)](https://www.crowdstrike.com/blog/) - [BACEN Circular 3.909/2018](https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Circular&número=3909) --- *Fonte: [MITRE ATT&CK - T1556.009](https://attack.mitre.org/techniques/T1556/009) | Versão MITRE: 16.2*