# T1556 - Modify Authentication Process ## Descrição **Modify Authentication Process** é uma técnica da tática [[_credential-access|Credential Access]] (e também [[_defense-evasion|Defense Evasion]]) na qual adversários modificam mecanismos e processos de autenticação para acessar credenciais de usuários ou obter acesso não autorizado a contas de forma persistente e furtiva. O processo de autenticação nos sistemas modernos é gerenciado por componentes críticos do sistema operacional: o **LSASS** (Local Security Authority Subsystem Service) e o **SAM** (Security Accounts Manager) no Windows; os **PAM** (Pluggable Authentication Modules) em sistemas Unix/Linux; e plugins de autorização no macOS. Ao modificar qualquer um desses componentes, um adversário pode autenticar-se em serviços ou sistemas sem utilizar credenciais legítimas - essencialmente instalando um **backdoor de autenticação** no próprio mecanismo de verificação de identidade. O que torna esta técnica especialmente perigosa é sua capacidade de operar **abaixo do nível de consciência da organização**: as modificações frequentemente são indistinguíveis de configurações legítimas, sobrevivem a reinicializações do sistema, e persistem mesmo após a remoção do vetor de acesso inicial. O adversário não precisa mais roubar credenciais - ele se torna parte do processo de verificação de credenciais em si. Esta técnica está documentada em operações do grupo [[g1016-fin13|FIN13]], especializado em ataques financeiros contra instituições mexicanas e com extensão regional à LATAM. O malware [[s0377-ebury|Ebury]], utilizado extensivamente em campanhas contra servidores Linux em todo o mundo, implementa modificação de PAM como mecanismo central de persistência e coleta de credenciais. > **Tática MITRE:** [[_credential-access|Credential Access]] | [[_defense-evasion|Defense Evasion]] --- ## Como Funciona A técnica opera em múltiplas camadas e plataformas, cada uma com seu mecanismo específico: ### Windows - Domain Controller Authentication (T1556.001) Adversários implantam uma **DLL de autenticação maliciosa** no Domain Controller via o mecanismo de autenticação customizada `Authentication Packages`. A DLL é registrada em `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages` e carregada pelo LSASS na inicialização. Toda tentativa de autenticação passa pelo código malicioso, que pode: - Registrar todas as credenciais em texto claro - Aceitar uma senha mestra que sempre autentica com sucesso - Modificar tokens de segurança para elevar privilégios ### Windows - Password Filter DLL (T1556.002) O Windows permite registrar DLLs de filtro de senha para enforçar políticas de complexidade. Adversários registram uma DLL maliciosa em `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages` que intercepta senhas **durante a troca de senha**, capturando-as em texto claro antes da aplicação do hash. ### Unix/Linux - Pluggable Authentication Modules (T1556.003) O framework PAM utilizado por Linux e macOS permite substituir ou adicionar módulos de autenticação. Um adversário com acesso root pode: - Substituir `pam_unix.so` por uma versão trojanizada - Adicionar um módulo custom no início da stack de autenticação - Modificar `/etc/pam.d/` para incluir módulos que aceitam uma senha backdoor O malware [[s0377-ebury|Ebury]] utiliza exatamente este mecanismo, injetando uma biblioteca compartilhada maliciosa que intercepta chamadas de autenticação SSH e registra todas as credenciais. ### Dispositivos de Rede (T1556.004) Em roteadores e switches Cisco, adversários modificam o arquivo de configuração para adicionar contas ocultas ou alterar processos de autenticação AAA (Authentication, Authorization, Accounting). A técnica foi observada em ataques a infraestrutura de rede no Brasil e LATAM. ### Multi-Factor Authentication (T1556.006) Adversários modificam implementações de MFA para degradar sua efetividade: - Desativar MFA para contas privilegiadas via modificação de políticas - Modificar código de válidação de tokens para aceitar qualquer código - Alterar políticas de Conditional Access no Azure AD/Entra ID ### Identity Provider / Cloud (T1556.007, T1556.009) Em ambientes híbridos (on-premises + cloud), adversários comprometem o **ADFS** (Active Directory Federation Services) ou modificam configurações do **Azure AD Connect** para interceptar autenticações federadas, capturar tokens SAML ou inserir backdoors em fluxos de SSO. --- ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Exploit / Valid Accounts / Supply Chain"] --> B["Escalonamento de Privilégios<br/>Admin / Root / SYSTEM"] B --> C{"Plataforma Alvo"} C --> D["Windows<br/>Domain Controller / LSASS"] C --> E["Linux / macOS<br/>PAM Framework"] C --> F["Dispositivo de Rede<br/>Cisco / Juniper"] C --> G["Cloud / IdP<br/>Azure AD / ADFS / Okta"] D --> H["Implantação de DLL<br/>Authentication Package / Password Filter"] E --> I["Substituição de Módulo PAM<br/>/etc/pam.d/ + .so malicioso"] F --> J["Modificação de Config<br/>AAA backdoor / hidden user"] G --> K["Manipulação de Política<br/>Conditional Access / SAML tampering"] H --> L["Backdoor de Autenticação<br/>Aceita senha mestra / captura credenciais"] I --> L J --> L K --> L L --> M["Persistência Silenciosa<br/>Sobrevive a reinicializações e trocas de senha"] M --> N["Acesso Contínuo<br/>Movimentação lateral + exfiltração"] M --> O["Captura de Credenciais<br/>Todas as senhas passam pelo backdoor"] ``` --- ## Exemplos de Uso ### FIN13 - Operações contra Setor Financeiro Mexicano e LATAM O grupo [[g1016-fin13|FIN13]], especializado em ataques a instituições financeiras no México e LATAM, documentou uso extensivo de modificação de processos de autenticação como mecanismo de persistência de longo prazo. O grupo comprometia Domain Controllers e instalava Authentication Packages customizados que forneciam acesso backdoor a qualquer credencial de domínio, permitindo operações de espionagem e exfiltração financeira por meses sem detecção. ### Ebury - Campanha Global de Comprometimento de Servidores Linux O malware [[s0377-ebury|Ebury]], operando desde 2009 e ainda ativo com mais de 400.000 servidores Linux comprometidos documentados em 2024, implementa T1556 como sua função principal. O malware modifica bibliotecas OpenSSL e implementa um módulo PAM falso que: 1. Aceita qualquer senha de autenticação SSH (backdoor de acesso) 2. Registra todas as senhas utilizadas em texto claro 3. Rouba chaves SSH privadas da memória 4. Se propaga para novos servidores utilizando credenciais capturadas ### SILENTTRINITY - Framework de Post-Exploitation O [[s0692-silenttrinity|SILENTTRINITY]], framework de post-exploitation baseado em .NET/Python, inclui módulos específicos para modificação de autenticação no Windows, incluindo implantação automatizada de Password Filter DLLs que capturam senhas durante operações de troca. ### Kessel - Backdoor Linux para Sistemas de Alta Segurança O malware [[s0487-kessel|Kessel]] foi observado em campanhas contra organizações de segurança crítica, implementando modificações PAM sofisticadas que incluem cifração das credenciais capturadas antes da exfiltração, dificultando a detecção via monitoramento de tráfego de rede. --- ## Detecção ### Regra Sigma - Registro de Authentication Package Suspeito (Windows) ```yaml title: Suspicious Authentication Package Registration status: experimental description: Detecta adição de Authentication Package ou Notification Package não-standard logsource: category: registry_set product: windows detection: selection: TargetObject|contains: - 'HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages' - 'HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages' filter_legitimate: Details|contains: - 'msv1_0' - 'kerberos' - 'wdigest' - 'tspkg' - 'pku2u' - 'livessp' condition: selection and not filter_legitimate falsepositives: - Instalação de softwares de SSO ou MFA legítimos - Smart card middleware providers level: high tags: - attack.credential_access - attack.defense_evasion - attack.t1556.001 - attack.t1556.002 ``` ### Regra Sigma - Modificação de Módulos PAM (Linux) ```yaml title: PAM Module File Modification status: experimental description: Detecta criação ou modificação de arquivos de configuração PAM ou módulos .so logsource: category: file_event product: linux detection: selection_config: TargetFilename|startswith: - '/etc/pam.d/' - '/lib/security/' - '/lib64/security/' - '/usr/lib/security/' selection_so: TargetFilename|endswith: '.so' TargetFilename|contains: 'pam_' condition: selection_config or selection_so falsepositives: - Atualizações legítimas de pacotes PAM via apt/yum - Configuração de novos métodos de autenticação por administradores level: medium tags: - attack.credential_access - attack.t1556.003 ``` ### Indicadores de Comprometimento (Comportamentais) - DLLs desconhecidas listadas em `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages` - Arquivos `.so` não-padrão em `/lib/security/` com data de modificação recente - Processos não-sistema fazendo write em arquivos de configuração PAM - Modificações em `/etc/pam.d/sshd` ou `/etc/pam.d/common-auth` fora de jánelas de manutenção - Chaves de registro ADFS ou Azure AD Connect modificadas inesperadamente - Políticas de Conditional Access alteradas sem ticket de change management - Contas de usuário criadas em dispositivos de rede sem aprovação ### Windows Event IDs Relevantes | Event ID | Canal | Descrição | |----------|-------|-----------| | 4657 | Security | Modificação de valor de registro (LSA Authentication Packages) | | 4670 | Security | Permissões de objeto alteradas | | 7045 | System | Novo serviço instalado (DLL de autenticação) | | 4624/4625 | Security | Logon com sucesso/falha - buscar padrões anômalos | --- ## Mitigação | ID | Mitigação | Descrição Detalhada | |----|-----------|---------------------| | [[m1024-restrict-registry-permissions\|M1024]] | Restrict Registry Permissions | Restringir permissões de escrita nas chaves de registro LSA (`HKLM\SYSTEM\CurrentControlSet\Control\Lsa\`). Apenas `SYSTEM` e administradores específicos devem ter permissão de write. Auditar todas as modificações. | | [[m1032-multi-factor-authentication\|M1032]] | Multi-factor Authentication | Implementar MFA robusto que não dependa exclusivamente de software no host comprometido. Usar hardware tokens (FIDO2/WebAuthn) que são resistentes a backdoors de software. | | [[m1027-password-policies\|M1027]] | Password Policies | Mesmo com um backdoor de autenticação instalado, senhas fortes reduzem o impacto de captura durante trocas de senha. Implementar rotação automática via gMSA. | | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrict File and Directory Permissions | Em Linux/macOS, restringir permissões de `/etc/pam.d/`, `/lib/security/` e bibliotecas de autenticação. Usar controles de integridade de arquivo (AIDE, Tripwire) para detectar modificações. | | [[m1018-user-account-management\|M1018]] | User Account Management | Auditar regularmente contas de usuário em todos os sistemas, especialmente dispositivos de rede. Eliminar contas de serviço desnecessárias que poderiam ser exploradas via backdoor de autenticação. | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Limitar acesso de escrita a componentes de autenticação. Usar PAW (Privileged Access Workstations) para administração de Domain Controllers. Implementar Tiered Administration Model. | | [[m1025-privileged-process-integrity\|M1025]] | Privileged Process Integrity | Habilitar PPL (Protected Process Light) para LSASS. Usar ELAM (Early Launch Anti-Malware) para verificar integridade de drivers e módulos de autenticação no boot. | | [[m1047-audit\|M1047]] | Audit | Implementar auditoria contínua de modificações em componentes de autenticação. Revisar regularmente Authentication Packages registrados, módulos PAM ativos e políticas de Conditional Access. | | [[m1028-operating-system-configuration\|M1028]] | Operating System Configuration | Habilitar Secure Boot e UEFI Secure Boot. Usar Windows Defender Credential Guard. Configurar AppLocker/WDAC para prevenir carregamento de DLLs não-assinadas pelo LSASS. | ### Controles Adicionais Recomendados - **Windows Defender Credential Guard**: Isola LSASS em ambiente Virtualization Based Security (VBS), impedindo injeção de DLLs maliciosas - **Linux IMA (Integrity Measurement Architecture)**: Verificar integridade de arquivos de sistema, incluindo módulos PAM - **File Integrity Monitoring (FIM)**: Monitorar alterações em arquivos de configuração de autenticação em tempo real - **ADFS Monitoring**: Auditar modificações em relying party trusts e claim rules no ADFS - **Azure AD Identity Protection**: Detectar anomalias em padrões de autenticação e modificações de políticas --- ## Sub-técnicas - [[t1556-001-domain-controller-authentication|T1556.001 - Domain Controller Authentication]] - [[t1556-002-password-filter-dll|T1556.002 - Password Filter DLL]] - [[t1556-003-pluggable-authentication-modules|T1556.003 - Pluggable Authentication Modules]] - [[t1556-004-network-device-authentication|T1556.004 - Network Device Authentication]] - [[t1556-005-reversible-encryption|T1556.005 - Reversible Encryption]] - [[t1556-006-multi-factor-authentication|T1556.006 - Multi-Factor Authentication]] - [[t1556-007-hybrid-identity|T1556.007 - Hybrid Identity]] - [[t1556-008-network-provider-dll|T1556.008 - Network Provider DLL]] - [[t1556-009-conditional-access-policies|T1556.009 - Conditional Access Policies]] ## Contexto Brasil/LATAM ### Relevância Regional **Setor Financeiro Brasileiro**: A técnica T1556 é de alta relevância para o Brasil devido ao sofisticado ecossistema de ameaças financeiras na região. O grupo [[g1016-fin13|FIN13]] demonstrou uso extensivo de backdoors de autenticação em operações contra bancos mexicanos, e táticas similares foram observadas em ataques contra instituições financeiras brasileiras por grupos não atribuídos. A modificação de processos de autenticação permite acesso persistente e silencioso a sistemas de core banking, SWIFT e plataformas de pagamento. **Infraestrutura de Saúde**: Hospitais e redes de saúde no Brasil frequentemente utilizam servidores Linux legados com configurações PAM desatualizadas. O comprometimento via T1556.003 (PAM) foi observado em incidentes de ransomware na região, onde atacantes primeiro estabeleceram persistência via backdoor de autenticação antes de implantar ransomware semanas depois. **Telecomúnicações e ISPs**: A subtécnica T1556.004 (Network Device Authentication) é especialmente relevante para operadoras de telecomúnicações brasileiras, onde dispositivos de rede Cisco com versões de firmware desatualizadas são alvos frequentes de campanhas de espionagem visando intercepção de comúnicações. ### Grupos Observados na Região - [[g1016-fin13|FIN13]] - documentado em operações contra bancos na América Latina - Grupos de crime organizado brasileiro com TTPs similares, motivação financeira - Ameaças de espionagem com foco em telecomúnicações e governo federal ### Desafios de Detecção na Região - Muitas organizações brasileiras carecem de soluções FIM (File Integrity Monitoring) implantadas em servidores Linux - Monitoramento de modificações de registro em Domain Controllers é frequentemente ausente - Ferramentas de SIEM com cobertura de T1556 são subutilizadas ou mal configuradas - Ambientes híbridos (on-premises + Azure/AWS) criam pontos cegos na visibilidade de modificações de autenticação --- ## Referências - [MITRE ATT&CK - T1556: Modify Authentication Process](https://attack.mitre.org/techniques/T1556/) - [ESET Research - Ebury: The One Million Servers Botnet](https://www.welivesecurity.com/en/eset-research/ebury-is-alive-but-even-more-dangerous/) - [Mandiant - FIN13: A Cybercriminal Threat Actor Focused on Mexico](https://www.mandiant.com/resources/blog/fin13-cybercriminal-mexico) - [Microsoft - Windows Authentication Architecture](https://learn.microsoft.com/en-us/windows-server/security/windows-authentication/windows-authentication-architecture) - [Linux-PAM Documentation](https://linux-pam.org/Linux-PAM-html/) - [Microsoft - Protect ADFS](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs) ## Software Associado - [[s0377-ebury|Ebury]] (malware) - [[s0692-silenttrinity|SILENTTRINITY]] (ferramenta) - [[s0487-kessel|Kessel]] (malware) --- *Fonte: [MITRE ATT&CK - T1556](https://attack.mitre.org/techniques/T1556)*