# DS0026 — Active Directory ## Descrição O Active Directory (AD) é o serviço de diretório da Microsoft que funciona simultaneamente como banco de dados e conjunto de serviços para gerenciar permissões, controle de acesso a recursos de rede e objetos armazenados — usuários, grupos, computadores, políticas de grupo (GPOs) e aplicações. Práticamente toda organização de médio e grande porte que opera no Windows depende do AD como espinha dorsal de identidade e acesso. Do ponto de vista de segurança ofensiva, o Active Directory é frequentemente chamado de "chaves do reino" — comprometer o AD significa comprometer toda a organização. Ataques como Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket e abuso de Constrained/Unconstrained Delegation são técnicas consolidadas que exploram o protocolo Kerberos e a arquitetura de confiança do AD. Grupos de ransomware como [[lockbit]] e [[blackcat]] rotineiramente comprometem controladores de domínio antes de iniciar a fase de cifragem, garantindo máximo impacto. No contexto LATAM, o AD é alvo preferêncial porque muitas organizações brasileiras mantêm configurações herdadas e não aplicam hardening adequado — incluindo contas com delegação irrestrita, SPNs desnecessários (alvos de Kerberoasting) e ACLs permissivas que permitem escalação de privilégio via DCSync para usuários não administradores. ## Visão Geral **Gap 1 — Auditoria DS Access não habilitada** O Event 5136 (modificação de objeto AD) requer habilitação explícita de "Directory Service Changes" na política de auditoria. Sem ele, DCSync não é detectável via logs de evento — e esta é a técnica mais usada para dump de credenciais pré-ransomware. **Gap 2 — Eventos Kerberos não coletados pelo SIEM** Os eventos 4768 e 4769 são gerados exclusivamente nos Controladores de Domínio. Muitos SIEMs LATAM coletam logs de endpoints mas não configuram coleta específica dos DCs — tornando o Kerberoasting e AS-REP Roasting invisíveis. **Gap 3 — Contas com delegação irrestrita (Unconstrained Delegation)** Muitos ambientes AD legados no Brasil têm servidores com Kerberos Unconstrained Delegation habilitada — um vetor de roubo de TGT que não requer exploração de vulnerabilidade. Identificar e remediar essas contas é prioritário. **Gap 4 — SPNs desnecessários em contas de usuário** Service Principal Names (SPNs) em contas de usuário (não de serviço) são alvo de Kerberoasting. Em ambientes legados, é comum encontrar dezenas de SPNs em contas com senhas fracas e sem monitoramento. **Gap 5 — Microsoft Defender for Identity não implantado** O MDI é a ferramenta mais eficaz para detecção de ataques ao AD, mas raramente é implantado em organizações brasileiras de médio porte por questões de custo e conhecimento técnico. **Recomendações:** - Executar PingCastle imediatamente para inventariar riscos no AD atual - Habilitar auditoria "Directory Service Changes" em todos os DCs - Configurar coleta de logs de todos os DCs no SIEM com foco em 4769 (RC4), 4662 (replicação) - Identificar e remediar contas com Unconstrained Delegation via `Get-ADComputer -Filter {TrustedForDelegation -eq $true}` - Implantar Microsoft Defender for Identity como prioridade para detecção de ataques Kerberos ## Pipeline de Coleta ```mermaid graph TB A["🏢 Controlador de Domínio<br/>Windows Server AD DS"] --> B["📋 Security Event Log<br/>Kerberos · NTLM · DS Access<br/>Eventos 4768, 4769, 5136"] A --> C["🛡️ Microsoft Defender<br/>for Identity (MDI)<br/>Sensor instalado no DC"] B --> D["📡 Coletor SIEM<br/>Windows Event Forwarding<br/>Syslog · Beats Agent"] C --> D D --> E["📦 SIEM / SOAR<br/>Sentinel · Splunk · Elastic"] E --> F["🚨 Alertas de Ameaças AD<br/>Kerberoasting · DCSync<br/>Pass-the-Hash · Golden Ticket"] ``` ## Componentes de Dados | Componente | ID MITRE | Descrição | Eventos Relevantes | |-----------|----------|-----------|-------------------| | Active Directory Object Modification | [[dc0066-active-directory-object-modification\|DC0066]] | Alteração de atributos de objetos AD (usuário, grupo, GPO, computador) | Event 4738, 4742, 5136 | | User Account Authentication | [[dc0002-user-account-authentication\|DC0002]] | Eventos de autenticação — Kerberos TGT/TGS, NTLM, logon interativo | Events 4768, 4769, 4770, 4771, 4776 | | User Account Creation | [[dc0014-user-account-creation\|DC0014]] | Criação de nova conta de usuário no domínio | Event 4720 | | User Account Deletion | [[dc0009-user-account-deletion\|DC0009]] | Remoção de conta de usuário | Event 4726 | | User Account Modification | [[dc0010-user-account-modification\|DC0010]] | Modificação de conta (senha, grupo, atributos) | Events 4722, 4723, 4724, 4738 | | Logon Session Creation | [[dc0067-logon-session-creation\|DC0067]] | Criação de sessão de logon no domínio | Events 4624, 4625, 4648 | ## Como Coletar ### Controlador de Domínio — Event IDs Críticos ``` Autenticação Kerberos (Fonte: KDC — Security Log no DC): 4768 — TGT solicitado (Kerberos Authentication Service Request) Anômalo se: usuário desabilitado, conta de serviço, fora do horário 4769 — TGS solicitado (Kerberos Service Ticket Request) Anômalo se: criptografia RC4 (0x17) — indicador de Kerberoasting 4770 — Kerberos TGS renovado 4771 — Falha na pré-autenticação Kerberos (tentativa de senha incorreta) 4776 — NTLM — válidação de credencial (logon NTLM) Anômalo se: volume alto de falhas, conta de admin em logon NTLM Gerenciamento de contas: 4720 — Conta de usuário criada 4722 — Conta de usuário habilitada 4723 — Tentativa de alterar senha 4724 — Tentativa de redefinir senha (por admin) 4726 — Conta de usuário excluída 4738 — Conta de usuário modificada (atributos) 4742 — Conta de computador modificada Objetos AD (requer auditoria DS Access): 5136 — Objeto de serviço de diretório modificado (mais granular) Usado para detectar DCSync (modificação de replicação no objeto da conta) 4662 — Operação realizada em objeto AD (geral) Política de Grupo: 4739 — Política de domínio modificada 5141 — Objeto de serviço de diretório excluído (incluindo GPOs) ``` ### Habilitando Auditoria de AD via GPO ``` GPO: Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy Configuration Subcategorias críticas: Account Logon: ✅ Kerberos Authentication Service → 4768, 4771 ✅ Kerberos Service Ticket Operations → 4769, 4770 ✅ Other Account Logon Events → 4776 (NTLM) Account Management: ✅ User Account Management → 4720, 4722-4726, 4738 ✅ Computer Account Management → 4741-4743 ✅ Security Group Management → 4727-4735 (grupos de segurança) DS Access: ✅ Directory Service Changes → 5136 (crítico para DCSync) ✅ Directory Service Access → 4662 Logon/Logoff: ✅ Logon → 4624, 4625 ✅ Other Logon/Logoff Events → 4648 (logon explícito) ``` ### Detecção de Ataques Kerberos ```powershell # Kerberoasting — buscar TGS com RC4 (etype 0x17) # No SIEM: Event 4769 WHERE TicketEncryptionType = 0x17 # AND ServiceName != krbtgt AND ServiceName != $ # GROUP BY UserName HAVING COUNT > threshold # DCSync — buscar replicação de diretório por conta não-DC # No SIEM: Event 4662 WHERE # Properties contains "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2" # DS-Replication-Get-Changes # AND SubjectUserName NOT IN [lista de DCs] # AS-REP Roasting — TGT sem pré-autenticação # No SIEM: Event 4768 WHERE # PreAuthType = 0 (sem pré-autenticação) # AND ResultCode = 0 (sucesso) ``` ### Microsoft Defender for Identity (MDI) O MDI (antigo Azure ATP) é a solução Microsoft dedicada para detecção de ataques ao AD: ``` Detecções nativas do MDI: - Atividade de reconhecimento LDAP (enumeração de contas) - Pass-the-Hash / Pass-the-Ticket - Kerberoasting (detecção comportamental) - Golden Ticket (anomalia de TGT) - DCSync (detecção de replicação não-autorizada) - Honey token ativado (conta honeypot acessada) Sensor: instalado em todos os DCs Modo: offline — analisa tráfego de rede do DC via port mirror ou SPAN ``` ### Ferramentas de Hardening e Avaliação | Ferramenta | Uso | |-----------|-----| | **BloodHound / SharpHound** | Mapeamento de Attack Paths no AD (usar para defesa — identificar caminhos de escalação) | | **PingCastle** | Avaliação de maturidade de segurança do AD — gratuito | | **Purple Knight** | Avaliação de indicadores de comprometimento do AD (Semperis) | | **Microsoft LAPS** | Senhas locais únicas por máquina — elimina lateral movement via credencial local | ## Técnicas Detectadas | Técnica | Tática | Como DS0026 Detecta | |---------|--------|-------------------| | [[t1558-003-kerberoasting\|T1558.003 — Kerberoasting]] | Credential Access | Event 4769 com EncryptionType RC4 (0x17) para SPN não-DC | | [[t1003-006-dcsync\|T1003.006 — DCSync]] | Credential Access | Event 4662 com permissão de replicação (DS-Replication-Get-Changes) por conta não-DC | | [[t1098-active-directory-configuration\|T1098 — Account Manipulation]] | Persistence | Eventos 4738, 5136 — modificação de userAccountControl ou adição a grupo privilegiado | | [[t1069-002-domain-groups\|T1069.002 — Domain Groups]] | Discovery | Volume alto de LDAP queries (Event 4662) — reconhecimento de estrutura do domínio | | [[t1550-003-pass-the-ticket\|T1550.003 — Pass the Ticket]] | Lateral Movement | Tickets Kerberos com timestamps anômalos ou IPs inconsistentes com a conta | ## Gaps de Cobertura Brasil/LATAM > [!warning] Active Directory: Alvo Prioritário de Ransomware com Cobertura Insuficiente > A maioria dos ataques de ransomware no Brasil passa por comprometimento do Active Directory — e a maioria dos incidentes analisados apresenta ausência de auditoria adequada de eventos Kerberos. ## Referências - [[dc0066-active-directory-object-modification|DC0066 — Active Directory Object Modification]] - [[dc0002-user-account-authentication|DC0002 — User Account Authentication]] - [[dc0067-logon-session-creation|DC0067 — Logon Session Creation]] - [[t1558-003-kerberoasting|T1558.003 — Kerberoasting]] - [[t1003-006-dcsync|T1003.006 — DCSync]] - [[lockbit|LockBit Ransomware]] - [[blackcat|BlackCat/ALPHV Ransomware]] - [MITRE ATT&CK — DS0026 Active Directory](https://attack.mitre.org/datasources/DS0026/) - [Microsoft — Advanced Audit Policy Configuration](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings) - [PingCastle — AD Security Assessment](https://www.pingcastle.com/)