s0552-adfind - RunkIntel

# AdFind > Tipo: **tool** · S0552 · [MITRE ATT&CK](https://attack.mitre.org/software/S0552) ## Descrição [[s0552-adfind|AdFind]] é uma ferramenta gratuita de consulta por linha de comando desenvolvida por Joe Richards que pode ser utilizada para coletar informações do Active Directory (AD). Administradores de sistemas Windows a utilizam legitimamente para enumerar usuários, grupos, computadores, relações de confiança entre domínios e configurações de Group Policy Object (GPO) em ambientes corporativos. Sua sintaxe LDAP flexível a torna uma das ferramentas de diagnóstico AD mais usadas em operações de TI. Em mãos maliciosas, AdFind é um dos instrumentos de reconhecimento mais difundidos nas etapas pré-ransomware. Atacantes a executam imediatamente após ganhar acesso inicial para mapear o ambiente Active Directory: identificar Domain Controllers, enumerar grupos privilegiados (Domain Admins, Enterprise Admins), descobrir relações de confiança entre domínios e listar todos os hosts da rede. Esse mapeamento rápido informa as decisões de movimentação lateral e define o escopo do deploy de ransomware. Grupos como [[ta505|TA505]], [[g0102-conti-group|Wizard Spider]], [[g0046-fin7|FIN7]], [[g1024-akira|Akira]], [[g1040-play|Play]], [[g1043-blackbyte|BlackByte]] e [[g1032-inc-ransom|INC Ransom]] utilizam AdFind de forma consistente nessa fase. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] ## Grupos que Usam - [[ta505|TA505]] - [[g0030-raspberry-typhoon|Lotus Blossom]] - [[g0102-conti-group|Wizard Spider]] - [[g0046-fin7|FIN7]] - [[g1040-play|Play]] - [[g1043-blackbyte|BlackByte]] - [[g0037-fin6|FIN6]] - [[g1024-akira|Akira]] - [[g0129-mustang-panda|Mustang Panda]] - [[g1032-inc-ransom|INC Ransom]] ## Relevância LATAM/Brasil **Relevância LATAM/Brasil:** AdFind é ferramenta padrão no arsenal de reconhecimento de grupos de ransomware que operam no Brasil. O [[g1024-akira|Akira]] - que em 2024 atacou a companhia aérea LATAM Airlines - e o [[g1040-play|Play]] têm vitimologia documentada no Brasil e utilizam AdFind para enumerar o Active Directory pré-cifragem. O [[g1032-inc-ransom|INC Ransom]] e o [[g1043-blackbyte|BlackByte]] também registraram incidentes no setor corporativo brasileiro. Em 2025, a América Latina concentrou mais de 450 incidentes de ransomware, com AdFind sendo detectado na fase de reconhecimento em campanhas dos grupos acima. ## Detecção **Fontes de dados recomendadas:** - **Windows Security Event ID 4688 / Sysmon Event ID 1 (ProcessCreaté):** Execução de `AdFind.exe` ou arquivo renomeado; monitorar parâmetros como `-f`, `objectcategory=computer`, `objectcategory=person`, `trustdmp` e `-b` (base DN queries) - **LDAP ETW Provider:** `Microsoft-Windows-LDAP-Client` - captura queries LDAP granulares independente da ferramenta utilizada; configurar via registry `HKLM\System\CurrentControlSet\Services\ldap\Tracing` - **Rede:** Volume incomum de queries LDAP na porta 389/636 a partir de workstations - AdFind gera alto volume de LDAP em curto período durante enumeração **Regras de detecção:** - Sigma: `proc_creation_win_pua_adfind_susp_usage.yml` - linha de comando com parâmetros característicos de abuso malicioso do AdFind (SigmaHQ) - Sigma: `proc_creation_win_renamed_adfind.yml` - detecção de AdFind renomeado via IMPHASH e características do binário (SigmaHQ) - Elastic: `discovery_adfind_command_activity` - rule pré-construída para Elastic Security baseada em process creation + command-line analysis ## Referências Adicionais - [MITRE ATT&CK - S0552](https://attack.mitre.org/software/S0552) - [SigmaHQ - AdFind Suspicious Usage](https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_pua_adfind_susp_usage.yml) - 2024 - [The DFIR Report - AdFind in Ransomware Reconnaissance](https://thedfirreport.com/2020/05/08/adfind-recon/) - 2020-05-08 (referência técnica clássica) - [SOC Prime - Akira Ransomware LATAM Airline Industry](https://socprime.com/blog/akira-ransomware-group-is-on-the-rise-hackers-target-the-airline-industry-in-latam/) - 2024