# T1484.002 - Trust Modification > Técnica pai: [[t1484-domain-or-tenant-policy-modification|T1484 - Domain or Tenant Policy Modification]] ## Descrição A técnica T1484.002 - Trust Modification descreve como adversários manipulam relacionamentos de confiança entre domínios e tenants de identidade para evadir controles de segurança ou elevar privilégios. Relações de confiança (trust relationships) em ambientes como o Microsoft Active Directory (AD) e provedores de identidade em nuvem controlam como autenticação e autorização fluem entre organizações distintas, permitindo o acesso a recursos compartilhados sem a necessidade de credenciais separadas para cada ambiente. Ao modificar ou adicionar configurações de confiança, um adversário com privilégios elevados pode inserir um provedor de identidade sob seu controle - sem precisar comprometer o certificado de assinatura original. Em ambientes AD, isso pode ser feito convertendo um domínio para federado via Active Directory Federation Services (AD FS) e alterando as regras de emissão de claims, possibilitando autenticação como qualquer usuário válido. O resultado prático é a capacidade de forjar tokens de sessão, contornando mecanismos de MFA, políticas de acesso condicional e controles de auditoria tradicionais. Em ambientes de nuvem como Okta, Microsoft Entra ID (antigo Azure AD) e AWS IAM Identity Center, a adição de um novo provedor de identidade federada malicioso pode conceder ao adversário acesso irrestrito a todos os recursos que dependem daquele tenant. No caso da AWS, um adversário que registra um novo IdP para uma AWS Organization inteira consegue federar para todas as contas-membro sem criar identidades individuais - conferindo movimento lateral massivo com uma única modificação silenciosa. ## Como Funciona A exploração começa com a obtenção de privilégios administrativos no domínio ou tenant alvo - sejá via comprometimento de conta privilegiada, [[t1078-valid-accounts|roubo de credenciais]] ou abuso de permissões delegadas. A partir daí, o adversário realiza uma ou mais das seguintes ações: **Conversão de domínio para federado (AD FS):** Usando cmdlets do módulo MSOnline ou Azure AD PowerShell, o adversário converte um domínio gerenciado para federado e aponta o endpoint de autenticação para um servidor IdP sob seu controle. Com isso, qualquer credencial apresentada para aquele domínio é válidada pelo servidor malicioso, que pode aceitar qualquer usuário como autenticado. **Adição de certificado de assinatura malicioso:** Em vez de roubar o certificado de assinatura SAML legítimo, o adversário adiciona seu próprio certificado às configurações de trust. Isso permite forjar [[t1606-002-saml-tokens|tokens SAML]] válidos para qualquer identidade sem alertar sistemas que monitoram o uso do certificado original. **Adição de IdP externo em tenants de nuvem:** Em plataformas como Okta e AWS IAM Identity Center, a criação de um novo provedor de identidade federada permite que o adversário autentique como qualquer usuário do tenant, contornando políticas de senha, MFA e acesso condicional configuradas no IdP legítimo. **Modificação de regras de claim:** As regras de emissão de claim no AD FS controlam quais atributos são incluídos nos tokens emitidos. Adversários podem alterar essas regras para incluir claims que concedem permissões adicionais ou para mascarar a identidade real do usuário autenticado. ## Attack Flow ```mermaid graph TB A[Comprometimento de conta privilegiada] --> B[Acesso ao painel de administração de identidade] B --> C{Vetor escolhido} C --> D[Conversão de domínio para federado via AD FS] C --> E[Adição de certificado de assinatura SAML malicioso] C --> F[Registro de novo IdP externo em tenant de nuvem] D --> G[Forjá de tokens SAML para qualquer usuário] E --> G F --> H[Autenticação como qualquer usuário do tenant] G --> I[Acesso irrestrito a recursos internos e em nuvem] H --> I I --> J[Evasão de MFA, políticas de acesso condicional e auditoria] ``` ## Exemplos de Uso **Scattered Spider (UNC3944):** O grupo utilizou técnicas de engenharia social para comprometer contas de help desk e, em seguida, adicionou novos provedores de identidade federada a tenants Okta de alvos no setor financeiro e de jogos. Isso permitiu que o grupo autenticasse como qualquer funcionário sem conhecer a senha, contornando MFA via SMS. O grupo tem histórico de ataques contra organizações com presença significativa na América Latina. **Storm-0501:** Ator de ameaça com motivação financeira que opera ransomware, documentado pelo Microsoft Threat Intelligence. Utilizou T1484.002 em ataques contra infraestrutura crítica nos EUA, adicionando certificados de assinatura SAML a ambientes híbridos AD + Azure AD para manter acesso persistente mesmo após rotação de senhas. **APT29 (Cozy Bear) - SolarWinds:** Embora a técnica primária tenha sido [[t1195-002-compromise-software-supply-chain|comprometimento da cadeia de suprimentos]], o grupo adicionou tokens SAML forjados e modificou trusts de domínio em ambientes comprometidos para garantir persistência e movimentação lateral silenciosa entre tenants Microsoft 365. **FIN6:** Ator financeiramente motivado documentado usando federação maliciosa em ambientes híbridos para manter acesso a redes de varejo e hotelaria durante operações de exfiltração de dados de cartão de crédito. ## Detecção ```yaml title: Detecção - Modificação de Trust de Domínio ou Tenant status: experimental logsource: category: application product: windows service: microsoft-windows-adfs detection: selection_adfs_provider: EventID: - 1000 - 1007 Message|contains: - 'Set-MsolDomainFederationSettings' - 'Convert-MsolDomainToFederated' - 'New-MsolFederatedDomain' condition: selection_adfs_provider level: high ``` ```yaml title: Detecção - Adição de Certificado de Assinatura SAML Suspeito status: experimental logsource: category: cloud product: azure-ad detection: selection_cert: OperationName: 'Set federation settings on domain' ResultType: '0' condition: selection_cert level: critical ``` ```yaml title: Detecção - Novo Provedor de Identidade Federada em Tenant Okta status: experimental logsource: category: cloud product: okta detection: selection_idp: eventType: - 'system.idp.lifecycle.creaté' - 'system.idp.lifecycle.activaté' condition: selection_idp level: high ``` **Fontes de dados prioritárias:** - Logs de auditoria do Azure AD / Microsoft Entra ID (categoria: DirectoryManagement) - Logs de auditoria do AD FS (Event IDs 1000, 1007, 1200-1203) - Logs de auditoria do Okta (System Log - IdP lifecycle events) - AWS CloudTrail: eventos `CreateSAMLProvider`, `UpdateSAMLProvider` - Monitoramento de mudanças em objetos de configuração do AD via ferramentas como [[bluthound|BloodHound]] em modo defensivo ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir e monitorar o uso de contas com privilégios de administrador de domínio, Global Admin e Identity Admin. Aplicar princípio do menor privilégio para operações de federação. | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Implementar revisões periódicas de provedores de identidade registrados, certificados de assinatura SAML e configurações de domínios federados. Remover imediatamente configurações não autorizadas. | | M1032 | Autenticação Multifator | Exigir MFA resistente a phishing (FIDO2/chaves físicas) para contas com privilégios de modificação de trust. MFA baseado em SMS é insuficiente contra este vetor. | | M1030 | Segmentação de Rede | Isolar servidores AD FS e sistemas de gerenciamento de identidade em segmentos de rede com acesso estritamente controlado. | ## Contexto Brasil/LATAM A técnica T1484.002 é especialmente relevante para o cenário brasileiro e latino-americano por três razões principais. Primeiro, a adoção crescente de Microsoft 365 e ambientes híbridos AD + Entra ID por grandes corporações financeiras, governos estaduais e empresas de telecomúnicações na região amplia a superfície de ataque para federação maliciosa. Segundo, o grupo [[g1015-scattered-spider|Scattered Spider]], documentado como usuário desta técnica, tem expandido suas operações para mercados emergentes, incluindo alvos no Brasil no setor de jogos e finanças. Terceiro, grupos de ransomware como [[g1053-storm-0501|Storm-0501]] têm demonstrado capacidade técnica para explorar ambientes híbridos - modelo predominante em grandes organizações brasileiras que ainda mantêm infraestrutura on-premises legada integrada a serviços de nuvem. Equipes de segurança no Brasil devem priorizar a auditoria contínua de provedores de identidade registrados em tenants corporativos e a revisão de certificados de assinatura SAML, especialmente em contextos pós-incidente ou durante investigações de comprometimento de credenciais privilegiadas. ## Referências - [[t1484-domain-or-tenant-policy-modification|T1484 - Domain or Tenant Policy Modification]] (técnica pai) - [[t1606-002-saml-tokens|T1606.002 - SAML Tokens]] (técnica relacionada - forjá de tokens) - [[t1078-valid-accounts|T1078 - Valid Accounts]] (pré-requisito comum) - [[t1195-002-compromise-software-supply-chain|T1195.002 - Compromise Software Supply Chain]] - [[g1015-scattered-spider|Scattered Spider]] (grupo documentado usando esta técnica) - [[g1053-storm-0501|Storm-0501]] (grupo documentado usando esta técnica) - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[m1018-user-account-management|M1018 - User Account Management]] - [[s0677-aadinternals|AADInternals]] (ferramenta usada para exploração) *Fonte: MITRE ATT&CK - T1484.002*