# AN1621 — Analytic 1621 ## Descrição Esta analítica detecta ativação de criptografia reversível de senhas no Active Directory ou em Políticas de Grupo, comandos PowerShell suspeitos que modificam propriedades de usuários AD e alterações incomuns de configuração de contas correlacionadas a modificações de política, padrões que permitem ao adversário capturar senhas em texto claro. A telemetria inclui Event IDs 4739 (mudança de política de domínio), 4738 (conta de usuário modificada), logs de auditoria de Política de Grupo e blocos de script PowerShell do AMSI. Esta detecção importa porque a ativação de criptografia reversível é uma técnica furtiva para coletar credenciais em texto claro sem interação direta com LSASS. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] --- *Fonte: [MITRE ATT&CK — AN1621](https://attack.mitre.org/detectionstrategies/DET0589#AN1621)*