dc0084-active-directory-credential-request

# DC0084 — Active Directory Credential Request ## Descrição O componente **Active Directory Credential Request** registra solicitações de credenciais de autenticação ao Active Directory — especialmente tickets Kerberos (TGT e Service Tickets), autenticações NTLM e consultas LDAP de bind. Esse componente é crítico para detectar ataques Kerberos avançados como Kerberoasting, AS-REP Roasting, Pass-the-Ticket e Golden/Silver Ticket. O protocolo Kerberos opera em dois estágios principais: solicitação de TGT via AS-REQ/AS-REP (Event IDs 4768/4771) e solicitação de Service Tickets via TGS-REQ/TGS-REP (Event ID 4769). Adversários exploram esses fluxos de diversas formas: AS-REP Roasting solicita TGTs para contas sem pré-autenticação obrigatória; Kerberoasting solicita Service Tickets para contas com SPNs e tenta quebrar o hash RC4 offline; ataques de Golden Ticket apresentam TGTs forjados com a chave KRBTGT comprometida. Indicadores técnicos de ataques Kerberos incluem: solicitações de RC4 (tipo 0x17) onde AES seria esperado, múltiplos Service Tickets solicitados de uma única origem em curto período, solicitações de TGT para contas inativas, e tickets com tempo de vida anormalmente longo (típico de Golden Tickets). A correlação com [[dc0002-user-account-authentication]] e [[dc0067-logon-session-creation]] permite construir a cadeia completa de autenticação e identificar usos anômalos de credenciais obtidas via ataques Kerberos. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (DC) | 4768 | Solicitação de TGT Kerberos (AS-REQ) | Security.evtx | | Windows (DC) | 4769 | Solicitação de Service Ticket (TGS-REQ) | Security.evtx | | Windows (DC) | 4770 | Renovação de Service Ticket | Security.evtx | | Windows (DC) | 4771 | Falha de pré-autenticação Kerberos | Security.evtx | | Windows (DC) | 4776 | Autenticação via NTLM (DC válida) | Security.evtx | | Windows (DC) | 4777 | Falha de autenticação NTLM no DC | Security.evtx | | LDAP | — | LDAP bind request (autenticação LDAP simples) | LDAP audit log | ## Queries de Detecção ### KQL — Azure Sentinel: Kerberoasting — múltiplos Service Tickets RC4 de uma origem ```kql SecurityEvent | where TimeGenerated > ago(1h) | where EventID == 4769 | extend EncryptionType = tostring(parse_json(EventData).TicketEncryptionType) | extend ServiceName = tostring(parse_json(EventData).ServiceName) | extend SourceIP = tostring(parse_json(EventData).IpAddress) | extend Account = tostring(parse_json(EventData).TargetUserName) | where EncryptionType == "0x17" // RC4-HMAC | where ServiceName !endswith "quot; // Exclui contas de máquina | summarize TicketCount = count(), Services = make_set(ServiceName) by SourceIP, Account, bin(TimeGenerated, 5m) | where TicketCount >= 3 | project TimeGenerated, Account, SourceIP, TicketCount, Services | order by TicketCount desc ``` ### SPL — Splunk: AS-REP Roasting — TGTs solicitados para contas sem pré-autenticação ```spl index=wineventlog EventCode=4768 | where Pre_Authentication_Type="0" | stats count by Client_Address, Account_Name | where count > 1 | table Client_Address, Account_Name, count | sort -count ``` ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558-steal-or-forge-kerberos-tickets]] — Ataques Kerberos como Kerberoasting, AS-REP Roasting, Golden e Silver Ticket - [[t1110-brute-force|T1110-brute-force]] — Força bruta via NTLM ou Kerberos (múltiplos AS-REQs com falha) detectada por volume de 4771 - [[t1187-forced-authentication|T1187-forced-authentication]] — Forçar autenticação NTLM para capturar hashes via responder/ntlmrelayx ## Contexto LATAM > [!globe] Relevância Regional > Kerberoasting e NTLM relay attacks são técnicas documentadas em ataques contra bancos e operadoras de telecomúnicações no Brasil. A presença de contas de serviço com SPNs e senhas fracas é uma vulnerabilidade endêmica em ambientes AD brasileiros legados. SOCs que monitoram Event ID 4769 com filtro por encryption type RC4 conseguem detectar campanhas de Kerberoasting em estágio inicial. A transição para AES-256 em todas as contas de serviço é a mitigação mais eficaz e ainda pouco adotada na região. ## Referências - [MITRE ATT&CK — DC0084: Active Directory Credential Request](https://attack.mitre.org/datasources/DS0026/#Active%20Directory%20Credential%20Request) - [[ds0026-active-directory|DS0026 — Active Directory]] - [[t1558-steal-or-forge-kerberos-tickets|T1558-steal-or-forge-kerberos-tickets]] - [[t1110-brute-force|T1110-brute-force]] - [[_data-sources]] - [[_detections]]