Offensive Scenario — Επενδυτικός κλάδος. Σε μια επενδυτική εταιρεία, η πρόσβαση
σε ένα στέλεχος ή έναν analyst μπορεί να σημαίνει πρόσβαση σε εμπιστευτικές εντολές, θέσεις και
στρατηγική. Το MFA fatigue σε M365 εκμεταλλεύεται όχι μια τεχνική ευπάθεια, αλλά
την ανθρώπινη κόπωση: επαναλαμβανόμενα push μέχρι κάποιος, κατά λάθος, εγκρίνει. Το ερώτημα για τη
διοίκηση: θα εντοπίζατε την κατάληψη πριν ο εισβολέας εδραιωθεί;

Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.

Executive Summary

Το σενάριο δείχνει πώς το MFA fatigue σε M365 οδηγεί σε κατάληψη cloud
λογαριασμού και persistence στο Entra ID, ιδίως όταν λείπουν number matching, conditional access
και έλεγχος legacy authentication. Η Audax το αναπαράγει ελεγχόμενα ώστε να αποδειχθεί αν το SOC
βλέπει το μοτίβο των απορρίψεων/έγκρισης — και πόσο γρήγορα.

Το επιχειρησιακό ρίσκο

Για μια επενδυτική, η κατάληψη ενός λογαριασμού σημαίνει διαρροή εμπιστευτικής πληροφορίας
αγοράς, κίνδυνο BEC και απάτης, ρυθμιστική έκθεση (DORA, MiFID II, GDPR) και σοβαρή
ζημιά φήμης και εμπιστοσύνης πελατών. Η αξία εδώ δεν είναι μόνο δεδομένα — είναι πληροφορία που
κινεί κεφάλαια.

Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης

  1. Credential Access: ο αντίπαλος έχει ήδη το password (phishing/leak) και ξεκινά
    επαναλαμβανόμενα MFA push (T1621).
  2. MFA fatigue: χωρίς number matching, μετά από πολλά prompts ο χρήστης εγκρίνει
    κατά λάθος.
  3. Cloud Account takeover (T1078.004): πρόσβαση στο M365/Entra· legacy auth
    προσφέρει εναλλακτική παράκαμψη.
  4. Persistence (T1556): προσθήκη νέας μεθόδου MFA/app password και πρόσβαση σε
    ευαίσθητη επικοινωνία.
Kali Linux που αξιολογεί τις ρυθμίσεις MFA επενδυτικής εταιρείας και εντοπίζει push χωρίς number matching, ευάλωτο σε MFA fatigue.
Push approval χωρίς number matching και ενεργό legacy auth: το σκηνικό για MFA fatigue — ελεγχόμενη αξιολόγηση.

Το αποτέλεσμα φαίνεται καθαρά στα sign-in logs — αρκεί κάποιος να τα παρακολουθεί:

Windows PowerShell / Microsoft Graph που δείχνει επαναλαμβανόμενες απορρίψεις MFA και μια τελική έγκριση, με νέα μέθοδο MFA να προστίθεται για persistence.
Έξι απορρίψεις, μία λανθασμένη έγκριση και μια νέα μέθοδος MFA: κατάληψη και persistence στο M365.

Τι δοκιμάζει η Audax ελεγχόμενα

Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR

  • επαναλαμβανόμενες απορρίψεις MFA ακολουθούμενες από έγκριση·
  • logins μέσω legacy auth (IMAP/SMTP) που παρακάμπτουν MFA·
  • προσθήκη νέας μεθόδου MFA ή app password·
  • impossible travel και ασυνήθιστες συσκευές/τοποθεσίες·
  • συσχέτιση Entra sign-in logs + audit logs και ο χρόνος μέχρι το πρώτο alert.
Τακτική (Tactic) ATT&CK ID Τεχνική Τι σημαίνει στο σενάριο
Credential Access T1621 MFA Request Generation Επαναλαμβανόμενα push prompts (MFA fatigue) μέχρι έγκριση.
Initial Access T1078.004 Cloud Accounts Είσοδος στο M365/Entra με έγκυρα διαπιστευτήρια.
Persistence T1556.006 Modify Authentication Process Προσθήκη νέας μεθόδου MFA από τον εισβολέα.
Collection T1114 Email Collection Πρόσβαση σε ευαίσθητη επικοινωνία/εντολές.
Defense Evasion T1550.001 Application Access Token Χρήση tokens για παράκαμψη επανα-ελέγχου.
MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι τεχνική απόδειξη παράγεται

Επικυρωμένη αλυσίδα cloud takeover με anonymized log excerpts, αποδείξεις persistence (νέα MFA
method), τα σημεία όπου η ανίχνευση έπρεπε να ενεργοποιηθεί, αξιολόγηση σοβαρότητας και business
impact mapping. Ενδεικτικοί δείκτες:

Τύπος Ένδειξη (anonymized) Πλαίσιο ανίχνευσης
Behavior 6+ MFA denials -> 1 approval Μοτίβο MFA fatigue σε σύντομο χρόνο.
Auth Legacy IMAP/SMTP ενεργά Μονοπάτι παράκαμψης MFA.
Account [email protected] Παραβιασμένος cloud λογαριασμός.
Change Νέα μέθοδος MFA / app password Persistence στο Entra ID.
Config Conditional Access notApplied Απουσία device/location controls.
Ενδεικτικοί δείκτες (IOCs) προς ανίχνευση. Όλες οι τιμές είναι ανωνυμοποιημένες εργαστηριακές αναφορές.

Τι παραδίδεται στη διοίκηση

Executive risk summary με επίπτωση σε εμπιστευτικότητα/φήμη, ιεραρχημένο remediation roadmap
(number matching, conditional access, κατάργηση legacy auth), παρατηρήσεις ανίχνευσης, συσχέτιση με
DORA/MiFID II/GDPR και πλάνο retesting.

Πώς μειώνεται ο κίνδυνος

  • number matching / phishing-resistant MFA (FIDO2), κατάργηση legacy authentication·
  • conditional access με device compliance, location και risk-based policies·
  • alerting σε αλλαγές MFA methods και μοτίβα denial/approval·
  • purple teaming για επικύρωση των ανιχνεύσεων στο cloud·
  • retesting μετά την υλοποίηση των διορθώσεων.

Κλείστε Offensive Assessment

Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.

Κλείστε Offensive Assessment →

Θέλετε να επικυρώσετε την ασφάλειά σας στην πράξη;

Η Audax αποδεικνύει το ρίσκο με πραγματικά σενάρια επίθεσης — όχι απλώς λίστες ελέγχου.

Ζητήστε δωρεάν αξιολόγηση →