# T1550 - Use Alternaté Authentication Material
> [!info] Técnica Pai
> T1550 é uma técnica primária (sem técnica pai) classificada em **Defense Evasion** e **Lateral Movement**. Cobre todos os métodos onde adversários autenticam usando material alternativo - sem precisar conhecer a senha original do usuário.
## Descrição
**Use Alternaté Authentication Material** descreve uma classe de ataques onde adversários utilizam material de autenticação legítimo - mas obtido de forma ilegítima - para se autenticar em sistemas sem conhecer a senha em texto claro. Em vez de quebrar senhas, o atacante abusa do próprio mecanismo de confiança do sistema operacional ou plataforma.
Os sistemas modernos geram automaticamente "substitutos de autenticação" (tokens, hashes, tickets, cookies) após uma autenticação bem-sucedida para evitar que o usuário precise reinserir credenciais constantemente. Esses artefatos, quando roubados via técnicas de [[ta0006-credential-access|Acesso a Credenciais]], permitem que o adversário se autentique como a vítima - muitas vezes sem disparar alertas, pois o sistema percebe o acesso como legítimo.
### O Problema Fundamental
O principal desafio de defesa é que **autenticação via material alternativo é comportamento legítimo do sistema**. Um ticket Kerberos válido é idêntico quer tenha sido gerado por autenticação real ou roubado. Hashes NTLM em um processo de autenticação Pass-the-Hash são indistinguíveis de hashes usados em autenticação normal - a diferença está no contexto, não no artefato.
### Sub-técnicas
- [[t1550-001-application-access-token|T1550.001 - Application Access Token]]
- [[t1550-001-app-access-token|T1550.001 - Use Alternaté Authentication Material: Application Access Token]]
- [[t1550-002-pass-the-hash|T1550.002 - Pass the Hash]]
- [[t1550-003-pass-the-ticket|T1550.003 - Pass the Ticket]]
- [[t1550-004-web-session-cookie|T1550.004 - Web Session Cookie]]
## Como Funciona
### Ciclo completo: do roubo ao movimento lateral
A técnica sempre começa com uma fase de **obtenção** do material alternativo (tipicamente via outra técnica), seguida do **uso** para autenticação e **movimento lateral** ou acesso a recursos.
#### Pass-the-Hash (T1550.002)
O hash NTLM é extraído de memória (`lsass.exe`) ou do arquivo SAM/NTDS.DIT. Uma vez obtido, ferramentas como Mimikatz, Impacket ou CrackMapExec realizam autenticação NTLM usando o hash diretamente - sem precisar descriptografá-lo:
```
# Fluxo NTLM com Pass-the-Hash
Cliente → [NEGOTIATE] → Servidor
Servidor → [CHALLENGE: nonce] → Cliente
Cliente → [RESPONSE: HMAC-MD5(NT_Hash, nonce)] → Servidor
```
O hash substitui a senha diretamente no cálculo HMAC-MD5.
#### Pass-the-Ticket (T1550.003)
Tickets Kerberos (TGT ou TGS) extraídos via `sekurlsa::tickets` (Mimikatz) ou `klist` são injetados na sessão atual com `kerberos::ptt`. O KDC (Key Distribution Center) aceita o ticket como válido porque ele **é** criptograficamente válido:
```
# Injeção de ticket Kerberos
mimikatz # kerberos::ptt C:\ticket.kirbi
# A partir daí, qualquer acesso Kerberos usa o ticket injetado
```
#### Application Access Token (T1550.001)
Tokens OAuth2, JWTs e API keys extraídos de arquivos de configuração, variáveis de ambiente ou memória de aplicações permitem acesso direto a serviços cloud (AWS, Azure, GCP, Microsoft 365, GitHub, etc.) sem autenticação interativa:
```bash
# Uso de token OAuth roubado para acesso ao Microsoft Graph
curl -H "Authorization: Bearer <stolen_token>" \
"https://graph.microsoft.com/v1.0/me/messages"
```
#### Web Session Cookie (T1550.004)
Cookies de sessão roubados (via [[t1539-steal-web-session-cookie|T1539]], XSS, ou acesso físico ao browser) são injetados no navegador do atacante para acesso autenticado sem passar por MFA:
```
# Cookie típico de sessão Microsoft 365
ESTSAUTH=<token>; ESTSAUTHPERSISTENT=<token>
# Com esses cookies, MFA é completamente bypassada
```
---
## Attack Flow
```mermaid
graph TB
A([Acesso inicial ao ambiente]) --> B[Fase 1: Coleta de material]
B --> C1[Dump de memória lsass.exe<br/>Hashes NTLM - T1003.001]
B --> C2[Extração de tickets Kerberos<br/>Mimikatz sekurlsa::tickets]
B --> C3[Roubo de tokens OAuth/JWT<br/>Arquivos config / env vars]
B --> C4[Captura de cookies de sessão<br/>Browser / proxy MITM]
C1 --> D[Material alternativo em mãos]
C2 --> D
C3 --> D
C4 --> D
D --> E{Tipo de material}
E -- Hash NTLM --> F1[Pass-the-Hash<br/>T1550.002<br/>Impacket / CrackMapExec / Mimikatz]
E -- Ticket Kerberos --> F2[Pass-the-Ticket<br/>T1550.003<br/>Mimikatz kerberos ptt]
E -- OAuth / JWT --> F3[Application Access Token<br/>T1550.001<br/>Chamadas diretas à API]
E -- Cookie HTTP --> F4[Web Session Cookie<br/>T1550.004<br/>Burp Suite / browser inject]
F1 --> G[Autenticação legítima<br/>sem senha em texto claro]
F2 --> G
F3 --> G
F4 --> G
G --> H[Movimento Lateral<br/>TA0008]
G --> I[Acesso a dados<br/>TA0009 Collection]
G --> J[Escalada de privilégios<br/>TA0004]
H --> K([Comprometimento de domínio<br/>ou cloud tenant])
I --> K
J --> K
style A fill:#c0392b,color:#fff
style K fill:#e74c3c,color:#fff
style D fill:#e67e22,color:#fff
style G fill:#e67e22,color:#fff
```
---
## Exemplos de Uso
### APT29 (Cozy Bear) - Campanha SolarWinds e Microsoft 365
O [[g0016-apt29|APT29]], grupo de espionagem ligado ao SVR russo, fez uso extensivo de **Application Access Tokens** (T1550.001) durante a [[solarwinds-supply-chain-attack|campanha SolarWinds]] de 2020. Após comprometer o ambiente via backdoor [[s0559-sunburst|SUNBURST]], o grupo roubou tokens SAML forjados para acessar serviços Microsoft 365 e Azure sem passar por MFA - um dos movimentos mais sofisticados documentados.
Em 2024, o APT29 voltou a explorar Application Access Tokens para comprometer ambientes Microsoft 365 de organizações OTAN e governamentais europeias.
### FoggyWeb - Ataque ao ADFS
O malware [[s0661-foggyweb|FoggyWeb]], atribuído ao APT29, específicamente ataca servidores AD FS (Active Directory Federation Services) para interceptar tokens SAML - que são então usados em ataques T1550.001. FoggyWeb instala um backdoor no servidor ADFS que captura todos os tokens gerados.
### Grupos de ransomware - Pass-the-Hash em redes corporativas
Grupos como [[lockbit|LockBit]], [[blackcat|ALPHV]] e [[cl0p|Cl0p]] documentadamente usam **Pass-the-Hash** (T1550.002) como técnica central de movimento lateral em redes Windows AD após obter acesso inicial. Ferramentas como CrackMapExec e Impacket's `psexec.py` são padrão nesses ataques:
```
# Uso típico em operações de ransomware
crackmapexec smb 192.168.1.0/24 -u Administrator -H <NTLM_HASH> --exec-method smbexec
```
### Lazarus Group - Roubo de tokens em ambiente cloud
O [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) tem histórico documentado de roubo de tokens OAuth e API keys de desenvolvedores (via campanhas de [[t1566-phishing|spear-phishing]] como Operation DreamJob) para acessar repositórios privados e infraestrutura cloud de empresas de tecnologia e finanças.
| Ator | Sub-técnica preferida | Alvo típico | Ferramenta |
|------|----------------------|------------|-----------|
| [[g0016-apt29\|APT29]] | T1550.001 (SAML tokens) | Microsoft 365, Azure AD | Ferramenta customizada, AADInternals |
| [[g0032-lazarus-group\|Lazarus Group]] | T1550.001 (OAuth/API tokens) | Cloud, exchanges cripto | Ferramentas customizadas |
| Grupos de ransomware | T1550.002 (Pass-the-Hash) | Windows AD corporativo | CrackMapExec, Impacket |
| APTs chineses | T1550.003 (Pass-the-Ticket) | Windows AD, Kerberos | Rubeus, Mimikatz |
---
## Detecção
### Indicadores por sub-técnica
#### Pass-the-Hash (T1550.002)
```
- Logon Type 3 (Network Logon) com autenticação NTLM sem logon interativo prévio
- Evento Windows 4624 (Logon) com AuthPackage=NTLM de fontes inesperadas
- Eventos 4648 (Logon com credenciais explícitas) originando de contas de serviço
- Ausência de evento 4776 (tentativa de válidação NTLM local) antes de 4624 remoto
```
#### Pass-the-Ticket (T1550.003)
```
- Eventos Kerberos 4769 (TGS Request) para múltiplos serviços em curto intervalo
- Tickets com tempo de vida anormalmente longo (Golden Ticket: 10+ anos)
- Evento 4768 (TGT Request) de IPs que normalmente não fazem requests Kerberos
- Uso de Overpass-the-Hash: evento 4768 seguido de 4624 Type 9 (NewCredentials)
```
#### Application Access Token (T1550.001)
```
- Tokens OAuth usados de IPs/países diferentes do histórico normal
- Acesso à API fora do horário comercial por tokens de usuários não-técnicos
- Múltiplos recursos acessados em sequência rápida (reconhecimento automatizado)
- Tokens com scopes excessivos usados por aplicações com scopes normalmente mínimos
```
### Regra Sigma - Pass-the-Hash
```yaml
title: Pass-the-Hash - Suspicious NTLM Network Logon
id: a7b3c2d1-5e4f-4a8b-9c6d-2f1e3d4a5b7c
status: production
description: Detecta possível Pass-the-Hash via logon NTLM de rede sem autenticação interativa prévia
references:
- https://attack.mitre.org/techniques/T1550/002/
- https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624
author: RunkIntel
daté: 2026-03-25
tags:
- attack.defense_evasion
- attack.lateral_movement
- attack.t1550.002
logsource:
product: windows
service: security
detection:
selection:
EventID: 4624
LogonType: 3
AuthenticationPackageName: NTLM
filter_legitimate:
SubjectUserName|endswith: '