jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Trust Modification

Trust Modification

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Agregar nuevas trusts: Crear nuevas relaciones de confianza entre dominios para permitir la comunicación no autorizada.
  • Modificar propiedades existentes: Cambiar parámetros como el nivel de autenticación o los permisos de acceso.
  • Elevar privilegios: Usar relaciones de confianza para obtener acceso a sistemas o recursos restringidos.
  • Escalar privilegios: Acceder a sistemas restringidos mediante la manipulación de confianza.
  • Evadir controles de seguridad: Utilizar configuraciones de confianza no autorizadas para evitar detección.

Trust Modification

Descripción de la Tecnica

Trust Modification es una técnica del MITRE ATT&CK que pertenece al grupo attack-pattern. Los atacantes pueden modificar configuraciones de confianza entre dominios o tenant para evadir defensas o elevar privilegios. Esta acción implica agregar nuevas relaciones de confianza, cambiar propiedades de dominios existentes o alterar la configuración general de estas relaciones.

Los detalles de las relaciones de confianza, como si las identidades de usuarios son federadas o si se aplican propiedades de autenticación y autorización entre dominios, permiten el acceso a recursos compartidos. Este comportamiento está documentado en la Azure AD Federation de Microsoft.

Como Funciona

La técnica permite a los atacantes manipular las configuraciones de confianza entre dominios o tenants, lo que puede facilitar el acceso no autorizado a recursos críticos. Al modificar estas relaciones, los atacantes pueden:

  • Agregar nuevas trusts: Crear nuevas relaciones de confianza entre dominios para permitir la comunicación no autorizada.
  • Modificar propiedades existentes: Cambiar parámetros como el nivel de autenticación o los permisos de acceso.
  • Elevar privilegios: Usar relaciones de confianza para obtener acceso a sistemas o recursos restringidos.

Actores que la Utilizan

Esta técnica es utilizada por actores adversariales que buscan comprometer redes empresariales, especialmente en entornos basados en Azure AD. Los atacantes pueden aprovecharla para:

  • Escalar privilegios: Acceder a sistemas restringidos mediante la manipulación de confianza.
  • Evadir controles de seguridad: Utilizar configuraciones de confianza no autorizadas para evitar detección.

Deteccion

La detección de esta técnica requiere monitorear cambios en las configuraciones de confianza entre dominios o tenants. Los sistemas de seguridad deben revisar:

  • Logs de AD: Buscar modificaciones no autorizadas en relaciones de confianza.
  • Cambios en permisos: Verificar si se ajustan propiedades de autenticación o autorización sin consentimiento.
  • Acceso a recursos compartidos: Identificar actividades anómalas que aprovechen relaciones de confianza no controladas.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigacion

Para mitigar el riesgo asociado a esta técnica, se recomienda:

  • Revisar periódicamente las relaciones de confianza: Asegurar que solo dominios/tenants autorizados tengan relaciones de confianza.
  • Implementar políticas de principio de menor privilegio: Limitar el acceso a recursos críticos mediante configuraciones estrictas.
  • Monitorear cambios en AD: Utilizar herramientas de seguridad para detectar modificaciones no autorizadas en entornos de identidad.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin