# Nltest > Tipo: **tool** · S0359 · [MITRE ATT&CK](https://attack.mitre.org/software/S0359) ## Descrição [[s0359-nltest|Nltest]] é um utilitário de linha de comando nativo do Windows originalmente projetado para testes e diagnóstico de relacionamentos de domínio e canais de comunicação entre controladores de domínio (DCs). Administradores o utilizam para verificar a comunicação entre um sistema e seu DC, listar todos os DCs de um domínio e inspecionar relações de confiança em ambientes de floresta Active Directory. Em operações ofensivas, o [[s0359-nltest|Nltest]] é uma das ferramentas mais valiosas para reconhecimento de Active Directory. Com comandos como `nltest /domain_trusts`, `nltest /dclist:<dominio>` e `nltest /trusted_domains`, adversários mapeiam toda a topologia de confiança do ambiente - identificando domínios-filho, florestas relacionadas e possíveis caminhos para escalar privilégios via trust abuse. Grupos como [[g1040-play|Play]], [[g0102-conti-group|Wizard Spider]], [[g1032-inc-ransom|INC Ransom]], [[g1053-storm-0501|Storm-0501]] e [[g1017-volt-typhoon|Volt Typhoon]] utilizam nltest como etapa padrão de reconhecimento de domínio antes de executar ataques como Golden Ticket, DCSync ou lateral movement para outros domínios da floresta. A execução de nltest por um usuário comum (não-admin) ou por um processo de aplicação é altamente suspeita e deve gerar alerta imediato, especialmente quando combinada com outras ferramentas de enumeração AD como [[s0521-bloodhound|BloodHound]], [[s0552-adfind|ADFind]] ou [[s1071-rubeus|Rubeus]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Grupos que Usam - [[g1040-play|Play]] - [[g0102-conti-group|Wizard Spider]] - [[g1032-inc-ransom|INC Ransom]] - [[g1053-storm-0501|Storm-0501]] - [[g0061-fin8|FIN8]] - [[g1006-earth-lusca|Earth Lusca]] - [[g1017-volt-typhoon|Volt Typhoon]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Monitorar `nltest.exe` com parâmetros `/domain_trusts`, `/dclist`, `/trusted_domains`, `/user` - especialmente executado por usuários sem privilégios administrativos - **Windows Security Event ID 4688:** Criação de processo nltest.exe por processos-pai incomuns (explorer.exe seguido por nltest indica execução manual suspeita; processos de aplicação indicam execução por malware) - **Correlação AD:** nltest seguido de BloodHound, ADFind ou net group "Domain Admins" em sequência é indicativo forte de reconhecimento pré-movimento lateral **Regras de detecção:** - Sigma: `proc_creation_win_nltest_recon.yml` - detecta nltest.exe com parâmetros de enumeração de domínio (SigmaHQ) - UEBA: Alerta quando nltest é executado por conta de usuário que nunca o executou antes, especialmente fora do horário comercial ## Relevância LATAM/Brasil [[s0359-nltest|Nltest]] aparece consistentemente em investigações de incidentes de ransomware no Brasil. [[g1040-play|Play]] e [[g1032-inc-ransom|INC Ransom]] - grupos com vítimas confirmadas em organizações brasileiras dos setores de manufatura, saúde e varejo - incluem nltest como passo obrigatório na fase de reconhecimento AD. Em 2024-2025, análises forenses de incidentes no Brasil revelaram que nltest `/domain_trusts` foi executado em média 4-7 minutos após o acesso inicial, antes da implantação de ferramentas de C2 pesadas. [[g1053-storm-0501|Storm-0501]], ativo em operações de ransomware na América do Norte e Latina, também utiliza nltest sistematicamente. ## Referências - [MITRE ATT&CK - S0359](https://attack.mitre.org/software/S0359)