Acesso a Credenciais
O que é Acesso a Credenciais?
Acesso a CredenciaisTática MITRE ATT&CK (TA0006) que reúne técnicas usadas para roubar nomes de conta, palavras-passe, tokens e outros segredos.
Acesso a Credenciais (tática MITRE ATT&CK TA0006) agrupa as técnicas com que os adversários obtêm credenciais reutilizáveis para autenticar-se como utilizadores legítimos. Exemplos: dump da memória do LSASS com Mimikatz, extração de NTDS.dit de um controlador de domínio, leitura das hives SAM/SECURITY do registo do Windows, recolha de palavras-passe guardadas no browser, kerberoasting, AS-REP roasting, captura de hashes NTLM com responder, leitura de tokens cloud no disco, phishing de códigos MFA e abuso de consentimentos OAuth. Credenciais roubadas suportam movimento lateral, persistência e escalada de privilégios sem disparar deteções baseadas em malware. Os defensores apoiam-se em Credential Guard, proteção LSA, MFA forte, modelos de administração em camadas, cofres de palavras-passe, deteção de logins anómalos e revogação imediata em caso de suspeita.
● Exemplos
- 01
Executar Mimikatz para extrair credenciais em claro do processo LSASS num servidor Windows.
- 02
Realizar kerberoasting para crackear offline o TGS de uma conta de serviço.
● Perguntas frequentes
O que é Acesso a Credenciais?
Tática MITRE ATT&CK (TA0006) que reúne técnicas usadas para roubar nomes de conta, palavras-passe, tokens e outros segredos. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Acesso a Credenciais?
Tática MITRE ATT&CK (TA0006) que reúne técnicas usadas para roubar nomes de conta, palavras-passe, tokens e outros segredos.
Como funciona Acesso a Credenciais?
Acesso a Credenciais (tática MITRE ATT&CK TA0006) agrupa as técnicas com que os adversários obtêm credenciais reutilizáveis para autenticar-se como utilizadores legítimos. Exemplos: dump da memória do LSASS com Mimikatz, extração de NTDS.dit de um controlador de domínio, leitura das hives SAM/SECURITY do registo do Windows, recolha de palavras-passe guardadas no browser, kerberoasting, AS-REP roasting, captura de hashes NTLM com responder, leitura de tokens cloud no disco, phishing de códigos MFA e abuso de consentimentos OAuth. Credenciais roubadas suportam movimento lateral, persistência e escalada de privilégios sem disparar deteções baseadas em malware. Os defensores apoiam-se em Credential Guard, proteção LSA, MFA forte, modelos de administração em camadas, cofres de palavras-passe, deteção de logins anómalos e revogação imediata em caso de suspeita.
Como se defender contra Acesso a Credenciais?
As defesas contra Acesso a Credenciais costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Acesso a Credenciais?
Nomes alternativos comuns: Roubo de credenciais, TA0006.
● Termos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- malware№ 231
Ladrão de credenciais
Malware focado em extrair palavras-passe, hashes e tokens de autenticação de um sistema infetado ou da sua memória.
- defense-ops№ 606
Movimento Lateral
Tática MITRE ATT&CK (TA0008) que reúne técnicas com que o atacante salta de um host comprometido para outros sistemas no ambiente.
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- identity-access№ 076
Autenticação
Processo de verificar que uma entidade — utilizador, dispositivo ou serviço — é realmente quem afirma ser antes de conceder acesso.
● Veja também
- № 790Pass-the-Hash
- № 583Kerberoasting