Threat hunting no Salesforce: como detectar ataques que exploram OAuth, SSO e MFA
Aprofundamento CEVIU
Aprofundamento
A Datadog, por meio de seu time de pesquisa em segurança, publicou um guia de threat hunting para Salesforce, focando na primeira fase da cadeia de ataque MITRE ATT&CK. O artigo detalha vetores de acesso inicial, como phishing de OAuth e abuso de tokens de terceiros. A abordagem da Datadog é prática, oferecendo consultas prontas para detecção em ambientes Salesforce usando os Event Log Files (ELF) e Real-Time Event Monitoring (RTEM). Para outras plataformas de SIEM, adaptar esses nomes de campos e a sintaxe das consultas é essencial.
A análise da Datadog sobre ameaças no Salesforce reforça a importância de monitorar atividades de login, uso de APIs e contas de usuários convidados, que muitas vezes têm permissões excessivas. Ataques se iniciam com credenciais comprometidas ou por aplicativos maliciosos via OAuth, levando a enumeração de recursos e exfiltração de dados. A equipe da Datadog, por exemplo, identificou o uso da API /limits/ para que atacantes compreendam os limites de uso e minimizem a chance de detecção. Esse tipo de atividade pode ser rastreado tanto em logs ELF, como o tipo de evento RestApi, quanto em RTEM, via ApiEvent.
O que mudou
A cobertura anterior do CEVIU sobre o vazamento no Salesforce via app Klue, em 2026-06-19, descreveu o grupo Icarus gerando tokens OAuth e exfiltrando dados de CRM por 24 horas usando o aplicativo comprometido. A análise atual da Datadog complementa essa visão, detalhando as táticas pós-acesso que, provavelmente, o grupo Icarus empregou, como enumeração de objetos e consulta de limites de API, para cobrir seus rastros durante a exfiltração. O foco agora se expande para métodos proativos de detecção, não apenas a resposta a um incidente já ocorrido.
Por que isso importa
A plataforma Salesforce, por armazenar dados sensíveis como registros de clientes e histórico de vendas, torna-se um alvo primordial para cibercriminosos. A falta de visibilidade em atividades incomuns pode custar mais de 4,45 milhões de dólares, segundo a IBM. Por isso, as empresas devem usar o Datadog e outras ferramentas para buscar ativamente por indicadores de comprometimento. Detectar, por exemplo, tentativas de força bruta em massa, logins bem-sucedidos de contas Guest, ou o uso de tokens OAuth por IP de serviços VPN, são alguns dos pontos que merecem atenção para evitar acessos indesejados ou ataques de exfiltração de dados. O monitoramento contínuo e a análise comportamental de logs são cruciais para a defesa.
Linha do tempo
CEVIU publica 'Desvendando Ameaças Através de Logs de WAF: A Perspectiva de um Threat Hunter', abordando o uso de logs para detecção de ameaças.
CEVIU relata o 'EvilTokens', um novo Kit de <em>phishing</em> como serviço usando OAuth 2.0.
CEVIU notifica sobre o abuso persistente de tokens OAuth em 'Protegendo concessões OAuth empresariais contra abuso persistente de tokens e acesso não autorizado'.
CEVIU detalha ataques de <em>phishing</em> via Device Code em 'Phishing via Device Code na mira: como rastrear ataques de BEC na Microsoft'.
Vazamento no Salesforce via aplicativo Klue é noticiado pelo CEVIU, com exfiltração de dados de CRM pelo grupo Icarus.
CEVIU aborda a campanha FortiBleed de roubo de credenciais em massa, 'Mitigando ataques massivos de credenciais'.
Datadog Security Labs publica o guia 'Mapeando o desconhecido: um guia de <em>threat hunting</em> para Salesforce', detalhando a primeira parte da cadeia MITRE ATT&CK.
Perguntas frequentes
O que é <em>threat hunting</em> em Salesforce e por que ele é importante?
Threat hunting no Salesforce significa buscar proativamente por atividades maliciosas ou anômalas nos logs. É crucial porque o Salesforce contém dados corporativos valiosos, e a detecção precoce de ameaças pode prevenir vazamentos de dados, interrupções operacionais e perdas financeiras significativas.
Quais são os principais vetores de acesso inicial que atacantes usam no Salesforce?
Os atacantes frequentemente obtêm acesso inicial através de phishing de OAuth, comprometimento de tokens de aplicativos de terceiros ou roubo de credenciais de SSO e MFA. Estes métodos permitem o acesso inicial antes de explorarem a plataforma em busca de dados.
Como os logs do Salesforce (ELF e RTEM) podem ajudar na detecção de ameaças?
Os Event Log Files (ELF) e o Real-Time Event Monitoring (RTEM) registram atividades dentro do Salesforce, como logins, uso de API e eventos de segurança. Analisá-los em busca de padrões incomuns, como logins de IPs suspeitos ou consultas excessivas de dados, é vital para identificar atividades maliciosas.
O que são as táticas GRUB1/UNC6395 e como elas se aplicam ao Salesforce?
GRUB1/UNC6395 refere-se a uma campanha de ataque que mirou o Salesforce, com foco em exfiltração de dados. As táticas incluem uso de phishing via OAuth, tentativas de força bruta e manipulação de fatores de autenticação fracos para manter o acesso e evadir detecção.
Fontes
- securitylabs.datadoghq.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 01 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

