# T1199 - Trusted Relationship ## Descrição Adversários exploram relações de confiança pré-existentes entre organizações e terceiros para obter acesso inicial sem precisar superar os controles de segurança do alvo primário. Em vez de atacar diretamente a vítima, o atacante compromete um fornecedor, prestador de serviços ou parceiro que já possui acesso privilegiado ao ambiente alvo - contornando camadas de defesa que seriam encontradas em uma intrusão frontal. Essas relações de confiança são estruturais em ambientes corporativos modernos: empresas de TI terceirizada, provedores de segurança gerenciada (MSSPs), fornecedores de sistemas ERP/CRM, prestadores de manutenção de infraestrutura física (HVAC, controle de acesso, elevadores) e parceiros de nuvem frequentemente mantêm conexões diretas ou [[t1078-valid-accounts|contas válidas]] na rede do cliente. O acesso do terceiro pode ser formalmente limitado a sistemas específicos, mas na prática frequentemente existe no mesmo segmento de rede que ativos críticos. Em ambientes Microsoft 365 e Azure, parceiros e revendedores podem receber permissões de administrador delegado - um vetor que grupos como [[g0125-silk-typhoon|HAFNIUM]] e [[g1004-lapsus|LAPSUS$]] exploram ativamente para escalar privilégios ou pivotar para tenants de clientes. O elemento diferenciador desta técnica é a legitimidade aparente do acesso: credenciais de terceiros são válidas, o tráfego de rede parece autorizado e sistemas de monitoramento frequentemente têm regras de exceção para fornecedores confiáveis. Isso torna a detecção significativamente mais difícil do que em intrusões convencionais, e o tempo médio de permanência (dwell time) tende a ser maior. **Contexto Brasil/LATAM:** No Brasil, a terceirização massiva de serviços de TI e o uso generalizado de fornecedores de ERP (especialmente SAP, TOTVS e outros sistemas locais) criam uma superfície de ataque considerável via trusted relationships. O setor financeiro, altamente regulado, frequentemente conecta dezenas de fornecedores a ambientes críticos. O grupo [[g1039-redcurl|RedCurl]] - que atua com foco em espionagem corporativa - tem histórico de comprometer prestadores de serviços para acessar escritórios de advocacia, construtoras e grupos de varejo na América Latina. A LGPD (Lei Geral de Proteção de Dados) exige controles de acesso de terceiros, mas a fiscalização e implementação ainda são inconsistentes em muitas organizações brasileiras de médio porte. ## Attack Flow ```mermaid graph TB THIRD["Fornecedor / MSSP<br/>(terceiro confiável)"]:::neutral --> COMP["Comprometimento<br/>do terceiro"]:::attack COMP --> CREDS["Credenciais válidas<br/>(T1078)"]:::neutral CREDS --> ACCESS["Acesso à rede<br/>do alvo primário"]:::neutral ACCESS --> LATERAL["Movimentação lateral<br/>para ativos críticos"]:::neutral classDef neutral fill:#2c3e50,color:#ecf0f1,stroke:#7f8c8d classDef attack fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Mapeamento e comprometimento do terceiro:** O adversário identifica fornecedores e parceiros com acesso privilegiado ao alvo real. Esse mapeamento ocorre via OSINT (LinkedIn, sites de parceiros, certificações públicadas), vazamentos de dados ou reconhecimento ativo. O terceiro - geralmente com postura de segurança inferior ao alvo primário - é comprometido via [[t1566-phishing|phishing]], exploração de vulnerabilidades em VPN/RDP expostos, ou roubo de credenciais. O ataque ao SolarWinds em 2020, que afetou milhares de organizações, é o exemplo mais emblemático desta técnica em escala. **Passo 2 - Uso de acesso legítimo para pivotar:** Com credenciais do terceiro em mãos, o adversário acessa o ambiente do alvo primário usando canais que já existem e são monitorados com menor rigor. Conexões VPN site-to-site, túneis de acesso remoto para gerenciamento, APIs de integração entre sistemas e delegated admin permissions em ambientes cloud são os vetores mais comuns. O tráfego aparenta ser legítimo e muitas vezes está em listas de exclusão de alertas de segurança. **Passo 3 - Expansão e persistência:** Uma vez dentro da rede do alvo, o adversário utiliza o acesso do terceiro como ponto de partida para reconhecimento interno, escalada de privilégios e movimentação lateral. O objetivo é alcançar sistemas críticos (Active Directory, bancos de dados, repositórios de código, sistemas de pagamento) sem acionar alertas associados a atividades de intrusão, aproveitando que a sessão é originária de uma fonte "confiável". ## Detecção **Event IDs relevantes (Windows / Azure AD):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4624 | Security | Logon bem-sucedido - monitorar logons de contas de terceiros fora do horário comercial | | 4648 | Security | Logon com credenciais explícitas - uso incomum de contas de serviço de fornecedores | | 4776 | Security | Validação de credencial NTLM - autenticações de estações externas | | 7045 | System | Novo serviço instalado - instalação de agentes de gerenciamento remoto | | AuditLogs (Azure) | Entra ID | Adição de delegated admin permissions ou novos service principals | **Regra Sigma - Logon de fornecedor fora do horário:** ```yaml title: Third-Party Account Logon Outside Business Hours id: b3c4e2d1-7a6f-4891-bc23-1d5e9f0a2b74 status: experimental description: > Detecta autenticações de contas associadas a fornecedores ou terceiros fora do horário comercial esperado - possível indicativo de abuso de trusted relationship por adversário. logsource: category: authentication product: windows detection: selection: EventID: 4624 LogonType: - 3 - 10 TargetUserName|contains: - 'svc_' - 'vendor' - 'mssp' - 'ext_' - 'terceiro' timeframe: # Fora do horário 08:00-20:00 BRT (UTC-3 → 11:00-23:00 UTC) not_between: '11:00-23:00' condition: selection falsepositives: - Jánelas de manutenção noturna previamente agendadas - Fornecedores em outros fusos horários (válidar com inventário de terceiros) level: medium tags: - attack.initial_access - attack.t1199 - attack.t1078 ``` ## Mitigação | Controle | Mitigação | Prioridade para Org. Brasileira | |----------|-----------|--------------------------------| | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Exigir MFA para todas as contas de terceiros sem exceção; preferêncialmente com autenticador FIDO2 ou TOTP - nunca apenas SMS | Alta - prioritária | | [[m1018-user-account-management\|M1018 - User Account Management]] | Implementar inventário formal de contas de fornecedores; revisar e revogar acessos inativos trimestralmente; usar contas de acesso temporário com expiração automática | Alta | | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Isolar sistemas acessados por terceiros em VLANs dedicadas; nunca colocar acesso de fornecedor no mesmo segmento de redes de produção crítica | Alta | | Monitoramento de sessão | Gravar sessões de acesso remoto de terceiros (privileged access workstation ou PAM como CyberArk/BeyondTrust); alertar em desvios de comportamento | Média | | Contratos e SLAs de segurança | Incluir requisitos de segurança obrigatórios em contratos com fornecedores (MFA, resposta a incidentes, notificação em 24h); alinhar com exigências da LGPD para processadores de dados | Média | > [!warning] Ponto cego comum no Brasil > Muitas organizações brasileiras concedem acesso VPN permanente a fornecedores de TI sem jánelas de manutenção definidas ou revisão periódica. Audite ativamente quais contas de terceiros existem no Active Directory e quando foram usadas pela última vez - contas inativas de ex-fornecedores são alvos preferênciais. ## Threat Actors - [[g0016-apt29|APT29]] - grupo russo de espionagem responsável pelo comprometimento da SolarWinds em 2020; exemplifica trusted relationship attack em escala global, afetando agências governamentais americanas e empresas do Fortune 500. - [[g0125-silk-typhoon|HAFNIUM]] - grupo chinês que explorou vulnerabilidades em Microsoft Exchange e abusou de delegated admin permissions em ambientes Microsoft 365 para pivotar entre tenants de clientes. - [[g1004-lapsus|LAPSUS$]] - grupo de extorsão que comprometeu funcionários e prestadores de serviços de empresas como NVIDIA, Microsoft e Samsung para obter acesso privilegiado via credenciais de terceiros. - [[g0034-sandworm|Sandworm Team]] - grupo russo (GRU) que explorou relações com fornecedores de infraestrutura industrial (ICS/SCADA) para atingir concessionárias de energia na Ucrânia. - [[g0007-apt28|APT28]] - grupo russo (GRU) que combina comprometimento de terceiros com [[t1566-phishing|phishing]] direcionado para acesso inicial em ambientes governamentais e militares da OTAN. - [[g0045-apt10|menuPass]] - grupo chinês (APT10) com histórico de comprometer MSSPs (Managed Security Service Providers) para acessar clientes através da confiança estabelecida - "Cloud Hopper" campaign. - [[g1039-redcurl|RedCurl]] - grupo de espionagem corporativa ativo na América Latina, Europa e Rússia; frequentemente acessa alvos via comprometimento de escritórios de recrutamento e prestadores de RH com acesso a sistemas internos. - [[g1005-polonium|POLONIUM]] - grupo libanês vinculado ao Irã que explorou relações com provedores de armazenamento em nuvem para comprometer organizações israelenses por meio de contas Microsoft OneDrive. - [[g0115-gold-southfield|GOLD SOUTHFIELD]] - afiliado de ransomware que usa acesso de MSPs para distribuição em massa de ransomware em múltiplos clientes simultaneamente - multiplica o impacto via trusted relationship. - [[g0027-threat-group-3390|Threat Group-3390]] - grupo chinês de espionagem (APT27) que compromete prestadores de serviços de TI para manter acesso persistente a alvos governamentais e industriais. --- *Fonte: [MITRE ATT&CK - T1199](https://attack.mitre.org/techniques/T1199)*