dc0087-active-directory-object-creation

# DC0087 — Active Directory Object Creation ## Descrição O componente **Active Directory Object Creation** registra a criação de novos objetos no Active Directory — incluindo contas de usuário, grupos, unidades organizacionais (OUs), GPOs, contas de serviço, contas de computador e relações de confiança entre domínios. O Event ID 5137 captura a criação com o Distinguished Name (DN) do novo objeto, o executor e o tipo de objeto. A criação não autorizada de objetos AD é um vetor de persistência e escalação de privilégios de longo prazo. Adversários com acesso de administrador de domínio podem criar novas contas de administrador ocultas em OUs pouco monitoradas, criar GPOs maliciosas para propagação de scripts ou configurações adversariais, ou estabelecer novas relações de confiança para facilitar o acesso futuro a partir de domínios controlados. Um padrão especialmente perigoso é a criação de contas de serviço com SPNs que são usadas imediatamente para Kerberoasting — o adversário cria a conta, adiciona um SPN, solicita o Service Ticket (RC4), quebra o hash offline e usa as credenciais para acesso. Correlacionar [[dc0087-active-directory-object-creation]] com [[dc0084-active-directory-credential-request]] (solicitação de Service Ticket para o novo objeto) revela essa cadeia. A criação de GPOs deve ser monitorada com aténção especial, pois uma única GPO maliciosa pode afetar todos os computadores e usuários de uma OU, executando scripts arbitrários ou modificando configurações de segurança em escala de domínio. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (DC) | 5137 | Novo objeto de diretório criado | Security.evtx | | Windows (DC) | 4720 | Nova conta de usuário criada | Security.evtx | | Windows (DC) | 4741 | Nova conta de computador criada | Security.evtx | | Windows (DC) | 4727 | Novo grupo de segurança global criado | Security.evtx | | Windows (DC) | 4731 | Novo grupo de segurança local criado | Security.evtx | | Windows (DC) | 4759 | Novo grupo de distribuição universal criado | Security.evtx | | Azure AD | AuditLogs | Novo objeto criado via portal/API | Azure Monitor | ## Queries de Detecção ### KQL — Azure Sentinel: Criação de novo objeto AD em OU não padrão ```kql SecurityEvent | where TimeGenerated > ago(24h) | where EventID == 5137 | extend NewObjectDN = tostring(parse_json(EventData).ObjectDN) | extend ObjectClass = tostring(parse_json(EventData).ObjectClass) | extend Actor = tostring(parse_json(EventData).SubjectUserName) | where ObjectClass in ("user", "group", "groupPolicyContainer", "trustedDomain") | where NewObjectDN !has "OU=ServiceAccounts" and NewObjectDN !has "OU=Users" and NewObjectDN !has "OU=Computers" | project TimeGenerated, Actor, ObjectClass, NewObjectDN | order by TimeGenerated desc ``` ### SPL — Splunk: Criação de GPO fora do horário comercial ```spl index=wineventlog EventCode=5137 | rex field=_raw "ObjectClass\s+(?<obj_class>[^\s]+)" | rex field=_raw "ObjectDN\s+(?<obj_dn>[^\n]+)" | rex field=_raw "SubjectUserName\s+(?<actor>[^\s]+)" | search obj_class="groupPolicyContainer" | eval hour=strftime(_time, "%H") | where hour < 7 OR hour > 20 | table actor, obj_dn, obj_class, hour ``` ## Técnicas Relacionadas - [[t1136-create-account|T1136-creaté-account]] — Criação de novas contas AD para persistência ou escalação - [[t1098-account-manipulation|T1098-account-manipulation]] — Objetos criados são imediatamente manipulados (adição a grupos privilegiados) - [[t1484-domain-or-tenant-policy-modification]] — Criação de GPOs maliciosas para propagação de configurações adversariais ## Contexto LATAM > [!globe] Relevância Regional > A criação de GPOs maliciosas e contas de backdoor em Active Directory são técnicas documentadas em incidentes de alto impacto no Brasil, especialmente em ataques de ransomware onde o adversário estabelece persistência antes da fase de criptografia. Organizações brasileiras devem configurar alertas para Event ID 5137 com foco em criação de GPOs e contas de usuário/serviço fora do fluxo normal de provisionamento de identidade (ex: fuera do horário do time de IAM). ## Referências - [MITRE ATT&CK — DC0087: Active Directory Object Creation](https://attack.mitre.org/datasources/DS0026/#Active%20Directory%20Object%20Creation) - [[ds0026-active-directory|DS0026 — Active Directory]] - [[t1136-create-account|T1136-creaté-account]] - [[t1484-domain-or-tenant-policy-modification]] - [[_data-sources]] - [[_detections]]