T1556.007
هویت ترکیبی
Hybrid Identityتوضیحات
مهاجمان از محیطهای هویت ترکیبی (on-premises + cloud) برای دور زدن احراز هویت سوءاستفاده میکنند. با دسترسی به زیرساخت federation مانند ADFS، مهاجمان میتوانند tokenهای مخرب ایجاد کنند که به سرویسهای ابری دسترسی میدهند.
روشهای شناسایی
نظارت بر فعالیت ADFS. بررسی tokenهای صادر شده. شناسایی ورودهای غیرعادی از طریق federation. تحلیل لاگهای Azure AD Connect.
روشهای مقابله
نظارت بر زیرساخت federation. استفاده از Azure AD Identity Protection. بررسی منظم تنظیمات ADFS. پیادهسازی Conditional Access. استفاده از MFA مقاوم.
تکنیک اصلی
T1556Modify Authentication Process
تغییر فرآیند احراز هویت
مهاجمان مکانیزمهای احراز هویت را تغییر میدهند تا به اعتبارنامهها دسترسی داشته باشند یا احراز هویت را دور بزنند. این تکنیک میتواند برای ایجاد backdoor در فرآیند احراز هویت، capture کردن اعتبارنامهها یا دور زدن MFA استفاده شود.