# DC0066 — Active Directory Object Modification ## Descrição O componente **Active Directory Object Modification** registra alterações em objetos do Active Directory — incluindo usuários, grupos, unidades organizacionais (OUs), GPOs, objetos de confiança e contas de máquina. Qualquer mudança em atributos desses objetos gera eventos auditáveis que são fundamentais para detectar escalação de privilégios, persistência e modificações de política de domínio. O Event ID 5136 captura modificações de atributos de objetos AD, enquanto o 5163 registra mudanças em atributos herdados. Esse componente é especialmente crítico para detectar ataques como DCSync (modificação de permissões de replicação no objeto de domínio), AdminSDHolder abuse (modificação do templaté de segurança para objetos privilegiados) e Kerberoasting setup (adição de SPNs a contas de usuário). Modificações em GPOs são particularmente perigosas, pois permitem ao adversário propagar configurações maliciosas para todo o domínio ou OUs específicas ([[t1484-domain-or-tenant-policy-modification]]). Mudanças no objeto `AdminSDHolder` podem persistir mesmo após a remoção do adversário, pois o SDProp (processo de propagação de SD) reaplica as permissões a cada 60 minutos. Para auditoria eficaz, a política "Audit Directory Service Changes" deve estar habilitada com log de Sucesso E Falha nos Domain Controllers. A integração com SIEMs permite correlação entre modificações e sessões de autenticação ativas. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (DC) | 5136 | Atributo de objeto AD modificado | Security.evtx | | Windows (DC) | 5163 | Atributo herdado de objeto AD modificado | Security.evtx | | Windows (DC) | 4662 | Operação executada em objeto AD | Security.evtx | | Windows (DC) | 5141 | Objeto AD excluído (relacionado) | Security.evtx | | Azure AD | AuditLogs | Modificação de objeto de diretório via portal/API | Azure Monitor | | Windows (DC) | 4899 | GPO atualizado | Security.evtx | | Windows (DC) | 4906 | CrashOnAuditFail alterado (evasão de auditoria) | Security.evtx | ## Queries de Detecção ### KQL — Azure Sentinel: Modificação de objeto AD sensível (AdminSDHolder, Domain Objects) ```kql SecurityEvent | where TimeGenerated > ago(24h) | where EventID == 5136 | extend ObjectDN = tostring(parse_json(EventData).ObjectDN) | extend AttributeName = tostring(parse_json(EventData).AttributeLDAPDisplayName) | extend Actor = tostring(parse_json(EventData).SubjectUserName) | where ObjectDN has "AdminSDHolder" or ObjectDN has "Domain Controllers" or AttributeName in ("member", "msDS-AllowedToActOnBehalfOfOtherIdentity", "servicePrincipalName", "nTSecurityDescriptor") | project TimeGenerated, Actor, ObjectDN, AttributeName | order by TimeGenerated desc ``` ### SPL — Splunk: Adição de SPN a conta de usuário (setup para Kerberoasting) ```spl index=wineventlog EventCode=5136 | rex field=_raw "AttributeLDAPDisplayName\s+(?<attr_name>[^\s]+)" | rex field=_raw "SubjectUserName\s+(?<actor>[^\s]+)" | rex field=_raw "ObjectDN\s+(?<obj_dn>[^\n]+)" | search attr_name="servicePrincipalName" | stats count by actor, obj_dn, attr_name | table actor, obj_dn, attr_name, count | sort -count ``` ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098-account-manipulation]] — Modificação de atributos de conta para escalação de privilégios (ex: SPN, adminCount) - [[t1484-domain-or-tenant-policy-modification]] — Alteração de GPOs e políticas de domínio propagadas via AD - [[t1207-rogue-domain-controller|T1207-rogue-domain-controller]] — Modificação de permissões de replicação no objeto de domínio (DCSync setup) - [[t1222-file-and-directory-permissions-modification|T1222-file-and-directory-permissions-modification]] — Mudanças em ACLs de objetos AD (nTSecurityDescriptor) ## Contexto LATAM > [!globe] Relevância Regional > Ataques avançados contra infraestrutura governamental brasileira (AGU, Receita Federal) documentam o uso de modificações em objetos AD como vetor de persistência de longo prazo. A habilitação de "Audit Directory Service Changes" nos DCs é uma configuração frequentemente ausente em organizações brasileiras de médio porte, criando pontos cegos críticos. SOCs com Elastic SIEM ou Splunk devem priorizar a ingestão de logs de DC para cobertura completa deste componente. ## Referências - [MITRE ATT&CK — DC0066: Active Directory Object Modification](https://attack.mitre.org/datasources/DS0026/#Active%20Directory%20Object%20Modification) - [[ds0026-active-directory|DS0026 — Active Directory]] - [[t1098-account-manipulation|T1098-account-manipulation]] - [[t1484-domain-or-tenant-policy-modification]] - [[_data-sources]] - [[_detections]]