dc0068-active-directory-object-deletion

# DC0068 — Active Directory Object Deletion ## Descrição O componente **Active Directory Object Deletion** registra a remoção de objetos do Active Directory — incluindo contas de usuário, grupos, unidades organizacionais (OUs), GPOs, contas de serviço e objetos de confiança entre domínios. A exclusão de objetos AD pode ter impacto operacional severo e é frequentemente utilizada por adversários tanto para apagar rastros quanto para causar disrupção. O Event ID 5141 captura exclusões de objetos de diretório com detalhes sobre o objeto removido, o executor e o Distinguished Name (DN). Diferentemente de objetos AD movidos para a "Lixeira do AD" (se habilitada), objetos excluídos diretamente sem proteção contra exclusão são irrecuperáveis sem backup. Adversários utilizam exclusão de objetos AD em múltiplos estágios de ataque: remoção de contas de administradores de segurança para impedir resposta a incidentes ([[t1531-account-access-removal|T1531-account-access-removal]]), exclusão de logs e objetos de auditoria para apagar evidências ([[t1070-indicator-removal|T1070-indicator-removal]]), e em ataques de destruição massiva de infraestrutura ([[t1485-data-destruction|T1485-data-destruction]]), onde a exclusão em cascata de OUs pode derrubar toda a estrutura de autenticação do domínio. A proteção contra exclusão acidental (configuração "Proteger de exclusão acidental" no ADUC) deve estar habilitada para todos os objetos críticos. A política de auditoria "Audit Directory Service Changes" com log de Sucesso é obrigatória nos Domain Controllers para capturar este componente. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (DC) | 5141 | Objeto de diretório AD excluído | Security.evtx | | Windows (DC) | 4662 | Operação executada (inclui exclusão) | Security.evtx | | Windows (DC) | 4743 | Conta de computador excluída | Security.evtx | | Windows (DC) | 4726 | Conta de usuário excluída | Security.evtx | | Azure AD | AuditLogs | Exclusão de objeto via portal/API | Azure Monitor | | Windows (DC) | 1102 | Log de auditoria limpo (relacionado — evasão) | Security.evtx | ## Queries de Detecção ### KQL — Azure Sentinel: Exclusão de múltiplos objetos AD em sequência rápida ```kql SecurityEvent | where TimeGenerated > ago(1h) | where EventID == 5141 | extend Actor = tostring(parse_json(EventData).SubjectUserName) | extend DeletedObjectDN = tostring(parse_json(EventData).ObjectDN) | extend ObjectClass = tostring(parse_json(EventData).ObjectClass) | summarize DeletionCount = count(), DeletedObjects = make_set(DeletedObjectDN) by Actor, bin(TimeGenerated, 10m) | where DeletionCount >= 3 | project TimeGenerated, Actor, DeletionCount, DeletedObjects | order by DeletionCount desc ``` ### SPL — Splunk: Exclusão de GPO ou OU (impacto de domínio) ```spl index=wineventlog EventCode=5141 | rex field=_raw "ObjectDN\s+(?<obj_dn>[^\n]+)" | rex field=_raw "ObjectClass\s+(?<obj_class>[^\s]+)" | rex field=_raw "SubjectUserName\s+(?<actor>[^\s]+)" | search obj_class="groupPolicyContainer" OR obj_class="organizationalUnit" OR obj_class="trustedDomain" | stats count by actor, obj_dn, obj_class | table actor, obj_dn, obj_class, count | sort -count ``` ## Técnicas Relacionadas - [[t1531-account-access-removal|T1531-account-access-removal]] — Exclusão de contas de administradores e equipe de segurança para bloquear resposta - [[t1070-indicator-removal|T1070-indicator-removal]] — Exclusão de objetos de auditoria e logs para apagar evidências de comprometimento - [[t1485-data-destruction|T1485-data-destruction]] — Exclusão em massa de objetos AD como parte de ataques destrutivos (wiper) ## Contexto LATAM > [!globe] Relevância Regional > Ataques destructivos contra infraestrutura governamental e financeira brasileira incluem a exclusão de objetos AD como fase final, tornando a recuperação extremamente demorada. A Lixeira do AD (AD Recycle Bin) deve estar habilitada em todos os domínios para permitir recuperação rápida. SOCs brasileiros devem configurar alertas de alta prioridade para Event ID 5141 envolvendo GPOs, OUs e objetos de confiança, correlacionando com sessões ativas de administradores. ## Referências - [MITRE ATT&CK — DC0068: Active Directory Object Deletion](https://attack.mitre.org/datasources/DS0026/#Active%20Directory%20Object%20Deletion) - [[ds0026-active-directory|DS0026 — Active Directory]] - [[t1531-account-access-removal|T1531-account-access-removal]] - [[t1070-indicator-removal|T1070-indicator-removal]] - [[_data-sources]] - [[_detections]]