# T1098.005 - Registro de Dispositivo ## Técnica Pai Esta é uma sub-técnica de [[t1098-account-manipulation|T1098 - Manipulação de Conta]]. ## Descrição Adversários podem registrar um dispositivo sob controle próprio em plataformas de autenticação multifator (MFA) ou sistemas de gerenciamento de dispositivos de uma organização. O objetivo é contornar controles de segurança e estabelecer persistência duradoura no ambiente - mesmo após uma troca de senha da vítima. Plataformas de MFA como Duo, Okta e Microsoft Entra ID permitem que usuários associem dispositivos às suas contas para completar o segundo fator de autenticação. Quando um adversário compromete as credenciais de um usuário, ele pode registrar um dispositivo próprio e assim satisfazer o requisito de MFA em acessos futuros. Em cenários ainda mais críticos, o processo de auto-registro pode aceitar apenas usuário e senha para cadastrar o primeiro dispositivo de uma conta - o que elimina completamente a barreira do segundo fator. Além do MFA, adversários com acesso inicial ao ambiente podem registrar máquinas virtuais ou dispositivos físicos no Microsoft Entra ID e no Microsoft Intune. Isso lhes concede acesso a recursos internos enquanto contornam políticas de Acesso Condicional baseadas em conformidade do dispositivo. Dispositivos registrados no Entra ID também podem ser usados para disparar campanhas de [[t1534-internal-spearphishing|Spearphishing Interno]] via e-mails intraorganizacionais - mensagens que tendem a ser menos bloqueadas por filtros de e-mail corporativo. Uma variante ofensiva menos óbvia é o registro em massa: ao cadastrar um grande número de dispositivos, um adversário pode saturar o tenant Entra ID e provocar uma [[t1499-002-service-exhaustion-flood|Inundação por Exaustão de Serviço]], impactando a disponibilidade do ambiente de identidade. **Contexto Brasil/LATAM:** Grupos como [[g0016-apt29|APT29]] e atores de ameaça voltados ao setor financeiro têm explorado falhas em fluxos de auto-registro MFA em ambientes corporativos brasileiros. O crescimento acelerado da adoção de Microsoft 365 e Entra ID no Brasil aumentou a superfície de ataque: muitas organizações habilitam o registro de dispositivos sem políticas de aprovação manual, facilitando o abuso dessa técnica. Setores como [[financial]], [[government]] e [[healthcare]] são alvos preferênciais. ## Attack Flow ```mermaid graph TB A[Comprometimento de Credenciais] --> B[Coleta de Token de Sessão ou Senha] B --> C[Acesso ao Portal MFA / Entra ID] C --> D{Registro de Dispositivo} D --> E[ESTA TÉCNICA - T1098.005] E --> F[Bypass de MFA / Acesso Condicional] F --> G[Acesso Persistente aos Recursos] G --> H[Movimento Lateral / Exfiltração] ``` ## Como Funciona 1. **Preparação** - O adversário obtém credenciais válidas por meio de [[t1566-phishing|Phishing]], [[t1110-brute-force|Força Bruta]] ou compra em fóruns clandestinos. 2. **Acesso ao portal de registro** - O adversário acessa o portal de auto-registro MFA (ex: `aka.ms/mfasetup`) ou o painel do Entra ID usando as credenciais comprometidas. 3. **Registro do dispositivo controlado** - Um dispositivo ou autenticador sob controle do adversário é cadastrado na conta da vítima. A partir desse ponto, o adversário consegue completar o MFA de forma autônoma. 4. **Persistência estabelecida** - Mesmo que a senha sejá trocada, o dispositivo registrado permanece associado à conta até ser removido manualmente pelo administrador. 5. **Exploração** - O adversário utiliza o acesso persistente para se mover lateralmente, acessar dados sensíveis ou registrar dispositivos adicionais usando a ferramenta [[s0677-aadinternals|AADInternals]]. **Exemplo - Registro via AADInternals:** ```powershell # Artefato de detecção: registro de novo dispositivo via PowerShell # (Este bloco ilustra o tipo de artefato gerado - não é código operacional) # Fonte: AADInternals module - Join-AADIntDeviceToAzureAD # Log esperado: Microsoft Entra ID Audit Log → "Register device" # Actor: conta comprometida | Target: novo DeviceId registrado # Evento: AuditLogs | operationName = "Register device" ``` ## Detecção **Fontes de dados:** Logs de auditoria do Microsoft Entra ID, logs do Okta / Duo, eventos de registro de dispositivo, alertas de Identity Protection. ```yaml title: Registro Suspeito de Dispositivo no Entra ID id: a3f7c2e1-94b0-4d8a-bf3e-0192837465ab status: experimental description: > Detecta registro de novo dispositivo em conta de usuário fora do horário comercial ou em país não reconhecido, potencial indicador de T1098.005. logsource: category: audit product: azure detection: selection: operationName: "Register device" resultType: "0" filter_business_hours: # Refinar com horário e geoIP conforme baseline da organização initiatedBy.user.userPrincipalName|contains: "@" condition: selection and not filter_business_hours falsepositives: - Onboarding legítimo de dispositivos por TI - Registro de dispositivos pessoais em ambientes BYOD level: medium tags: - attack.persistence - attack.t1098.005 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Exigir aprovação administrativa ou verificação adicional para registro de novos dispositivos MFA. Desativar auto-registro sem supervisão. | | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Auditar periodicamente dispositivos registrados por conta. Remover dispositivos não reconhecidos imediatamente. | | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para reportar e-mails de confirmação de registro de dispositivo que não foram por eles iniciados. | ## Referências *Fonte: [MITRE ATT&CK - T1098.005](https://attack.mitre.org/techniques/T1098/005)*