s0105-dsquery - RunkIntel

# dsquery > Tipo: **tool** · S0105 · [MITRE ATT&CK](https://attack.mitre.org/software/S0105) ## Descrição [[s0105-dsquery|dsquery]] é um utilitário de linha de comando do Windows utilizado para consultar o Active Directory (AD) em busca de objetos e informações de domínio. Normalmente é instalado apenas em versões do Windows Server ou em workstations com o pacote Remote Server Administration Tools (RSAT) instalado. Administradores de domínio o utilizam para listar usuários, grupos, computadores, OUs e relações de confiança via consultas LDAP simplificadas. Em contextos maliciosos, adversários utilizam `dsquery` para enumerar o ambiente Active Directory de forma rápida e discreta: identificar Domain Controllers, listar contas privilegiadas, mapear relações de confiança entre domínios e descobrir sistemas no ambiente. Por ser um utilitário administrativo legítimo do Windows, raramente é bloqueado por políticas de Application Control. Os grupos [[g0061-fin8|FIN8]] e [[g0096-apt41|APT41]] utilizam dsquery como parte de sua sequência de reconhecimento de AD, geralmente em conjunto com AdFind e BloodHound para mapeamento completo do ambiente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Grupos que Usam - [[g0061-fin8|FIN8]] - [[g0096-apt41|APT41]] ## Relevância LATAM/Brasil O [[g0096-apt41|APT41]] (Winnti Group / Double Dragon), associado a operações de espionagem e cibercrime com nexo chinês, tem histórico documentado de ataques contra setores de tecnologia, saúde e jogos na América Latina. O uso de dsquery em suas operações de reconhecimento de AD é consistente com campanhas identificadas no Brasil. O [[g0061-fin8|FIN8]], focado em ataques ao setor de varejo e hospitality (incluindo pontos de venda), também opera na América Latina e usa dsquery para mapear redes de franquia e varejo antes de implantar malware de exfiltração de cartões. ## Detecção **Fontes de dados recomendadas:** - **Windows Security Event ID 4688 / Sysmon Event ID 1 (ProcessCreaté):** Execução de `dsquery.exe` com argumentos como `user -limit 0`, `computer`, `trustedomain`, `ou` - especialmente por usuários não-administradores ou em horários fora do padrão - **LDAP ETW Provider:** Consultas LDAP granulares geradas por dsquery visíveis via `Microsoft-Windows-LDAP-Client` ETW - **Sysmon Event ID 12/13 (RegistryEvent):** Correlacionar com modificações de registro que seguem reconhecimento de AD - indica progressão de kill chain **Regras de detecção:** - Sigma: `proc_creation_win_dsquery_recon.yml` - execução de dsquery com parâmetros de enumeração abrangente (SigmaHQ) - Elastic: `active_directory_enumeration_dsquery` - detecção de dsquery em contextos não-administrativos ## Referências Adicionais - [MITRE ATT&CK - S0105](https://attack.mitre.org/software/S0105) - [SigmaHQ - dsquery AD enumeration](https://github.com/SigmaHQ/sigma) - 2024