# AN1611 — Analytic 1611 ## Descrição Esta analítica detecta tentativas de extração de credenciais direcionadas ao banco de dados `NTDS.dit` do Active Directory, monitorando criação de shadow copies, acesso suspeito ao arquivo `%SystemRoot%\NTDS\ntds.dit` e uso de ferramentas como `ntdsutil.exe` ou APIs de gerenciamento de volume para copiar o banco. A telemetria inclui Event IDs 4656 e 4663 (acesso a objeto), logs do VSS (Volume Shadow Copy Service) e monitoramento de execução de `ntdsutil.exe` por processos não autorizados. Esta detecção é crítica porque o NTDS.dit contém hashes de todas as senhas do domínio, e sua extração permite ao adversário comprometer todos os usuários do Active Directory via ataques de pass-the-hash ou cracking offline. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1611](https://attack.mitre.org/detectionstrategies/DET0586#AN1611)*