T1621
Multi-Factor Authentication Request Generation
多要素認証リクエストの生成

Adversaries may attempt to bypass multi-factor authentication (MFA) mechanisms and gain access to accounts by generating MFA requests sent to users.

攻撃者は、ユーザへ送信されるMFAリクエストを生成することで、多要素認証(MFA)機構を回避し、アカウントへのアクセスを試みることがあります。

Adversaries in possession credentials to Valid Accounts may be unable to complete the login process if they lack access to the 2FA or MFA mechanisms required as an additional credential and security control. To circumvent this, adversaries may abuse the automatic generation of push notifications to MFA services such as Duo Push, Microsoft Authenticator, Okta, or similar services to have the user grant access to their account.

攻撃者が有効なアカウントの認証情報を所持していても、追加の認証情報およびセキュリティ制御として必要な 2FA または MFA にアクセスできなければ、ログインプロセスを完了できない可能性があります。これを回避するために、攻撃者は Duo Push、Microsoft Authenticator、Okta などの MFA サービスへのプッシュ通知の自動生成を悪用して、ユーザーに自分のアカウントへのアクセスを許可させることがあります。

In some cases, adversaries may continuously repeat login attempts in order to bombard users with MFA push notifications, SMS messages, and phone calls, potentially resulting in the user finally accepting the authentication request in response to "MFA fatigue."[1][2][3]

場合によっては、攻撃者は、MFAのプッシュ通知、SMSメッセージ、および電話をユーザーに浴びせかけるために、ログイン試行を継続的に繰り返し、「MFA疲れ」に応じてユーザーが最終的に認証要求を受け入れる結果になる可能性があります。

ID: T1621
Sub-techniques:  No sub-techniques
Platforms: Azure AD, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS
Contributors: Jon Sternstein, Stern Security; Pawel Partyka, Microsoft 365 Defender; Shanief Webb
Version: 1.0
Created: 01 April 2022
Last Modified: 05 August 2022

Procedure Examples

ID Name Description
G0016 APT29

APT29 has used repeated MFA requests to gain access to victim accounts.[3]

G1004 LAPSUS$

LAPSUS$ has spammed target users with MFA prompts in the hope that the legitimate user will grant necessary approval.[4]

Mitigations

ID Mitigation Description
M1036 Account Use Policies

Enable account restrictions to prevent login attempts, and the subsequent 2FA/MFA service requests, from being initiated from suspicious locations or when the source of the login attempts do not match the location of the 2FA/MFA smart device.

M1032 Multi-factor Authentication

Implement more secure 2FA/MFA mechanisms in replacement of simple push or one-click 2FA/MFA options. For example, having users enter a one-time code provided by the login screen into the 2FA/MFA application or utilizing other out-of-band 2FA/MFA mechanisms (such as rotating code-based hardware tokens providing rotating codes that need an accompanying user pin) may be more secure. Furthermore, change default configurations and implement limits upon the maximum number of 2FA/MFA request prompts that can be sent to users in period of time.[2]

M1017 User Training

Train users to only accept 2FA/MFA requests from login attempts they initiated, to review source location of the login attempt prompting the 2FA/MFA requests, and to report suspicious/unsolicited prompts.

Detection

ID Data Source Data Component Detects
DS0015 Application Log Application Log Content

Monitor application logs for suspicious events including repeated MFA failures that may indicate user's primary credentials have been compromised.

ユーザーの一次認証情報が漏洩したことを示す可能性のあるMFA失敗の繰り返しなど、疑わしいイベントがないかアプリケーションログを監視する。

DS0028 Logon Session Logon Session Creation

Monitor 2FA/MFA application logs for suspicious events such as rapid login attempts with valid credentials.

有効な認証情報での急激なログイン試行など、疑わしいイベントがないか、2FA/MFAアプリケーションのログを監視する。

    Logon Session Metadata

Monitor 2FA/MFA application logs for suspicious events such as unusual login attempt source location, mismatch in location of login attempt and smart device approving 2FA/MFA request prompts.

通常とは異なるログイン試行元、ログイン試行先の不一致、スマートデバイスによる2FA/MFAリクエストプロンプトの承認など、疑わしいイベントがないか2FA/MFAアプリケーションログを監視する。

DS0002 User Account User Account Authentication

Monitor user account logs for suspicious events: unusual login attempt source location, mismatch in location of login attempt and smart device receiving 2FA/MFA request prompts, and high volume of repeated login attempts, all of which may indicate user's primary credentials have been compromised minus 2FA/MFA mechanism.

疑わしいイベントがないかユーザーアカウントログを監視する:通常とは異なるログイン試行元、ログイン試行の場所と2FA/MFAリクエストプロンプトを受信するスマートデバイスの不一致、大量のログイン試行が繰り返される、これらはすべて2FA/MFA メカニズムを使わずに、ユーザーの一次認証情報が侵害されたことを示す可能性があります。

References