# AN1075 — Analytic 1075 ## Descrição Este analítico correlaciona a enumeração de arquivos XML no compartilhamento SYSVOL com execução de processos suspeitos que decodificam ou leem credenciais criptografadas embutidas em arquivos de Group Policy Preferences (como `Get-GPPPassword.ps1`, `gpprefdecrypt.py`, Metasploit). Utiliza telemetria de Sysmon, Script Block Logging do PowerShell e logs de acesso SMB para detectar acesso anômalo a `\DOMAIN\SYSVOL` combinado com lógica de parsing ou descriptografia de XML. A detecção é crítica porque credenciais armazenadas em GPP são criptografadas com uma chave AES pública da Microsoft, sendo facilmente decriptografadas por atacantes para comprometer contas privilegiadas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1075](https://attack.mitre.org/detectionstrategies/DET0381#AN1075)*