Offensive Scenario — Επενδυτικός κλάδος. Σε μια επενδυτική εταιρεία, η πρόσβαση
σε ένα στέλεχος ή έναν analyst μπορεί να σημαίνει πρόσβαση σε εμπιστευτικές εντολές, θέσεις και
στρατηγική. Το MFA fatigue σε M365 εκμεταλλεύεται όχι μια τεχνική ευπάθεια, αλλά
την ανθρώπινη κόπωση: επαναλαμβανόμενα push μέχρι κάποιος, κατά λάθος, εγκρίνει. Το ερώτημα για τη
διοίκηση: θα εντοπίζατε την κατάληψη πριν ο εισβολέας εδραιωθεί;
Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.
Executive Summary
Το σενάριο δείχνει πώς το MFA fatigue σε M365 οδηγεί σε κατάληψη cloud
λογαριασμού και persistence στο Entra ID, ιδίως όταν λείπουν number matching, conditional access
και έλεγχος legacy authentication. Η Audax το αναπαράγει ελεγχόμενα ώστε να αποδειχθεί αν το SOC
βλέπει το μοτίβο των απορρίψεων/έγκρισης — και πόσο γρήγορα.
Το επιχειρησιακό ρίσκο
Για μια επενδυτική, η κατάληψη ενός λογαριασμού σημαίνει διαρροή εμπιστευτικής πληροφορίας
αγοράς, κίνδυνο BEC και απάτης, ρυθμιστική έκθεση (DORA, MiFID II, GDPR) και σοβαρή
ζημιά φήμης και εμπιστοσύνης πελατών. Η αξία εδώ δεν είναι μόνο δεδομένα — είναι πληροφορία που
κινεί κεφάλαια.
Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης
- Credential Access: ο αντίπαλος έχει ήδη το password (phishing/leak) και ξεκινά
επαναλαμβανόμενα MFA push (T1621). - MFA fatigue: χωρίς number matching, μετά από πολλά prompts ο χρήστης εγκρίνει
κατά λάθος. - Cloud Account takeover (T1078.004): πρόσβαση στο M365/Entra· legacy auth
προσφέρει εναλλακτική παράκαμψη. - Persistence (T1556): προσθήκη νέας μεθόδου MFA/app password και πρόσβαση σε
ευαίσθητη επικοινωνία.

Το αποτέλεσμα φαίνεται καθαρά στα sign-in logs — αρκεί κάποιος να τα παρακολουθεί:

Τι δοκιμάζει η Audax ελεγχόμενα
- Active Directory & Cloud assessment: αξιολόγηση
Entra ID/M365, conditional access, MFA strength, legacy auth. - Red team social engineering και
phishing simulations για ελεγχόμενη αναπαραγωγή MFA fatigue. - ATT&CK emulation & attack-path validation:
αναπαραγωγή cloud takeover και persistence, υπεύθυνα. - SOC/SIEM/EDR effectiveness: επικύρωση ανίχνευσης του
μοτίβου denials/approval και των αλλαγών MFA.
Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR
- επαναλαμβανόμενες απορρίψεις MFA ακολουθούμενες από έγκριση·
- logins μέσω legacy auth (IMAP/SMTP) που παρακάμπτουν MFA·
- προσθήκη νέας μεθόδου MFA ή app password·
- impossible travel και ασυνήθιστες συσκευές/τοποθεσίες·
- συσχέτιση Entra sign-in logs + audit logs και ο χρόνος μέχρι το πρώτο alert.
| Τακτική (Tactic) | ATT&CK ID | Τεχνική | Τι σημαίνει στο σενάριο |
|---|---|---|---|
| Credential Access | T1621 | MFA Request Generation | Επαναλαμβανόμενα push prompts (MFA fatigue) μέχρι έγκριση. |
| Initial Access | T1078.004 | Cloud Accounts | Είσοδος στο M365/Entra με έγκυρα διαπιστευτήρια. |
| Persistence | T1556.006 | Modify Authentication Process | Προσθήκη νέας μεθόδου MFA από τον εισβολέα. |
| Collection | T1114 | Email Collection | Πρόσβαση σε ευαίσθητη επικοινωνία/εντολές. |
| Defense Evasion | T1550.001 | Application Access Token | Χρήση tokens για παράκαμψη επανα-ελέγχου. |
Τι τεχνική απόδειξη παράγεται
Επικυρωμένη αλυσίδα cloud takeover με anonymized log excerpts, αποδείξεις persistence (νέα MFA
method), τα σημεία όπου η ανίχνευση έπρεπε να ενεργοποιηθεί, αξιολόγηση σοβαρότητας και business
impact mapping. Ενδεικτικοί δείκτες:
| Τύπος | Ένδειξη (anonymized) | Πλαίσιο ανίχνευσης |
|---|---|---|
| Behavior | 6+ MFA denials -> 1 approval |
Μοτίβο MFA fatigue σε σύντομο χρόνο. |
| Auth | Legacy IMAP/SMTP ενεργά |
Μονοπάτι παράκαμψης MFA. |
| Account | [email protected] |
Παραβιασμένος cloud λογαριασμός. |
| Change | Νέα μέθοδος MFA / app password |
Persistence στο Entra ID. |
| Config | Conditional Access notApplied |
Απουσία device/location controls. |
Τι παραδίδεται στη διοίκηση
Executive risk summary με επίπτωση σε εμπιστευτικότητα/φήμη, ιεραρχημένο remediation roadmap
(number matching, conditional access, κατάργηση legacy auth), παρατηρήσεις ανίχνευσης, συσχέτιση με
DORA/MiFID II/GDPR και πλάνο retesting.
Πώς μειώνεται ο κίνδυνος
- number matching / phishing-resistant MFA (FIDO2), κατάργηση legacy authentication·
- conditional access με device compliance, location και risk-based policies·
- alerting σε αλλαγές MFA methods και μοτίβα denial/approval·
- purple teaming για επικύρωση των ανιχνεύσεων στο cloud·
- retesting μετά την υλοποίηση των διορθώσεων.
Κλείστε Offensive Assessment
Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.
Θέλετε να επικυρώσετε την ασφάλειά σας στην πράξη;
Η Audax αποδεικνύει το ρίσκο με πραγματικά σενάρια επίθεσης — όχι απλώς λίστες ελέγχου.
Ζητήστε δωρεάν αξιολόγηση →