dc0105-group-metadata

# DC0105 — Group Metadata ## Descrição O componente **Group Metadata** compreende dados contextuais sobre grupos — incluindo nome, descrição, tipo (segurança vs. distribuição), escopo (local, global, universal), lista de membros, permissões associadas, propósito e atributos de configuração. Adversários consultam metadados de grupos para identificar quais grupos concedem acesso privilegiado e quais membros são os alvos de maior valor para comprometimento. Diferentemente da enumeração de grupos ([[dc0099-group-enumeration]]), que lista grupos disponíveis, a leitura de metadados é uma fase de aprofundamento: o adversário já identificou grupos de interesse e agora consulta seus atributos detalhados para entender o escopo de acesso, os membros atuais e como explorar esse grupo. Ferramentas como BloodHound coletam metadados de grupos para construir o grafo de privilégios e identificar paths de escalação. Atributos particularmente sensíveis incluem: `member` (lista de membros), `memberOf` (grupos dos quais esse grupo faz parte — aninhamento), `managedBy` (conta que gerencia o grupo), `description` (frequentemente contém senhas ou notas operacionais sensíveis), e `nTSecurityDescriptor` (ACL do grupo). O campo `description` em grupos AD é frequentemente subutilizado como vetor de reconhecimento passivo — administradores frequentemente incluem informações operacionais sensíveis nesse campo. A coleta de metadados de grupos de alto privilégio (Domain Admins, Backup Operators, Account Operators) deve acionar alertas em ambientes bem configurados, especialmente quando realizada por contas de usuário final ou por processos incomuns. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (AD) | 4662 | Atributos de objeto de grupo acessados | Security.evtx | | Windows (AD) | 4661 | Handle para objeto de grupo aberto | Security.evtx | | Azure AD | AuditLogs | Leitura de atributos de grupo via Graph API | Azure Monitor | | AWS IAM | GetGroup / GetGroupPolicy | Leitura de metadados de grupo IAM | CloudTrail | | LDAP | — | Query LDAP para atributos de grupo | LDAP audit log | | Google Workspace | groups.get | Leitura de metadados de grupo | Admin Activity Logs | | Windows | 4799 | Enumeração de membros de grupo local | Security.evtx | ## Queries de Detecção ### KQL — Azure Sentinel: Leitura de atributos sensíveis de grupos privilegiados ```kql AuditLogs | where TimeGenerated > ago(1h) | where OperationName in ("Get group", "List group members", "Get member objects") | extend InitiatorUPN = tostring(InitiatedBy.user.userPrincipalName) | extend TargetGroupName = tostring(TargetResources[0].displayName) | where TargetGroupName has_any ("Domain Admins", "Global Admins", "Privileged Role Administrators", "Security Admins", "Exchange Admins") | where InitiatorUPN !has "admin" and InitiatorUPN !has "iam" | summarize AccessCount = count() by InitiatorUPN, TargetGroupName, bin(TimeGenerated, 10m) | where AccessCount > 5 | project TimeGenerated, InitiatorUPN, TargetGroupName, AccessCount | order by AccessCount desc ``` ### SPL — Splunk: Acesso ao atributo `description` de grupos AD (possível exfiltração de info sensível) ```spl index=wineventlog EventCode=4662 | rex field=_raw "Properties\s+(?<properties>[^\n]+)" | search properties="*description*" OR properties="*member*" OR properties="*managedBy*" | rex field=_raw "SubjectUserName\s+(?<actor>[^\s]+)" | rex field=_raw "ObjectDN\s+(?<obj_dn>[^\n]+)" | search obj_dn="*CN=Domain Admins*" OR obj_dn="*CN=Enterprise Admins*" OR obj_dn="*CN=Backup Operators*" | stats count by actor, obj_dn, properties | table actor, obj_dn, properties, count | sort -count ``` ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] — Leitura de metadados de grupos para mapear estrutura de privilégios e identificar caminhos de escalação - [[t1098-account-manipulation|T1098-account-manipulation]] — Metadados de grupos identificam quais grupos manipular para maximizar o impacto da escalação - [[t1087-account-discovery|T1087-account-discovery]] — Metadados de grupos revelam membros atuais, facilitando targeting de contas de alto valor ## Contexto LATAM > [!globe] Relevância Regional > A leitura de metadados de grupos privilegiados via BloodHound/SharpHound é uma das primeiras operações executadas por adversários após comprometimento inicial em ambientes corporativos brasileiros. O atributo `description` em grupos AD frequentemente contém senhas de serviço ou informações operacionais que adversários exploram para reconhecimento passivo. SOCs brasileiros devem habilitar auditoria detalhada de objeto para grupos sensíveis e configurar alertas para leituras fora do padrão normal de operação do ambiente. ## Referências - [MITRE ATT&CK — DC0105: Group Metadata](https://attack.mitre.org/datasources/DS0036/#Group%20Metadata) - [[ds0036-group|DS0036 — Group]] - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] - [[t1098-account-manipulation|T1098-account-manipulation]] - [[_data-sources]] - [[_detections]]