dc0021-active-directory-object-modification

# DC0021 - Active Directory Object Modification > [!info] Rastreia alterações em objetos do Active Directory — contas, grupos, GPOs, trusts e configurações de domínio. Crítico para detectar DCSync, Golden Ticket, DCShadow e escalada de privilégios via modificação de ACLs do AD. ## Descrição Active Directory Object Modification rastreia alterações em objetos do AD como contas de usuário, grupos, GPOs, trusts e configurações de domínio. É crítico para detectar ataques de escalada de privilégio no AD, como DCSync (modificação de permissões de replicação), Golden Ticket (modificação de atributos Kerberos), adicionamento não autorizado a grupos privilegiados e alterações em Group Policy Objects para distribuição de malware em escala corporativa. ## Fonte de Dados Parent: [[ds0026-active-directory|DS0026 - Active Directory]] ## Pipeline de Detecção ```mermaid graph TB A["🏢 Event ID 5136 Objeto AD Modificado"] --> B["🔍 Atributo Identificado"] B --> C{"⚠️ Atributo Crítico?"} C -->|msDS-AllowedToDelegate| D["🚨 Alerta P1 Kerberos Delegation"] C -->|replicação do DC| E["🚨 Alerta P1 DCSync Attack"] C -->|adminCount=1| F["🟧 Alerta P2 Escalonamento"] C -->|GPO Policy| G["🟧 Alerta P2 GPO Modificada"] C -->|Outros| H["📋 Log para Revisão"] classDef p1 fill:#e74c3c,color:#ecf0f1 classDef p2 fill:#e67e22,color:#ecf0f1 classDef ok fill:#2c3e50,color:#ecf0f1 class D,E p1 class F,G p2 class A,B,C,H ok ``` ## O Que Monitorar - Windows Event ID 5136 (Objeto do AD modificado) - Windows Event ID 5163 (Modificação de atributo do AD) - Modificações em grupos privilegiados: Domain Admins, Enterprise Admins, Schema Admins - Alterações no atributo `msDS-AllowedToDelegateTo` (Kerberos delegation abuse) - Modificações em `adminCount` de contas de usuário regulares - Alterações em GPOs críticas (Default Domain Policy, Default DC Policy) - Modificações em ACLs do AD (DACLs) em objetos de alto valor ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Domain Policy Modification | [[t1484-domain-policy-modification\|T1484]] | Alterações em GPOs de segurança críticas | | Account Manipulation | [[t1098-account-manipulation\|T1098]] | Modificações em atributos de conta para persistência | | Rogue Domain Controller | [[t1207-rogue-domain-controller\|T1207]] | Novo DC registrado sem aprovação (DCShadow attack) | | Steal or Forge Kerberos Tickets | [[t1558-steal-or-forge-kerberos-tickets\|T1558]] | Modificação de atributos de criptografia Kerberos | ## Implementação **Habilitar auditoria do AD:** ``` Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy > DS Access > Audit Directory Service Changes ``` **PowerShell - monitorar mudanças em grupos privilegiados:** ```powershell Get-ADGroupMember -Identity "Domain Admins" | Export-Csv baseline.csv # Comparar periodicamente com baseline ``` **Microsoft Defender for Identity:** Detecta automaticamente DCSync, DCShadow, modificações suspeitas de ACL e Golden Ticket. **Ferramentas:** Microsoft Defender for Identity, Semperis DSP, Quest Change Auditor, Netwrix Auditor, CrowdStrike Falcon Identity. ## Consultas KQL — Microsoft Sentinel / Defender ### Detecção de DCSync - Permissões de Replicação Adicionadas ```kql // DC0021 - Adição de direitos de replicação (pré-requisito para DCSync) // Detecta modificação do atributo nTSecurityDescriptor com DS-Replication-Get-Changes SecurityEvent | where TimeGenerated > ago(1d) | where EventID == 5136 | where ObjectClass =~ "domainDNS" | where AttributeLDAPDisplayName in~ ( "nTSecurityDescriptor", "msDS-AllowedToDelegateTo", "msDS-AllowedToActOnBehalfOfOtherIdentity" ) | where SubjectUserName !endswith "quot; // Excluir contas de máquina | project TimeGenerated, Computer, SubjectUserName, SubjectDomainName, ObjectDN, AttributeLDAPDisplayName, AttributeValue = tostring(AttributeValue) | order by TimeGenerated desc ``` ### Modificação de GPO Crítica ```kql // DC0021 - Alteração em Group Policy Objects de segurança AuditLogs | where TimeGenerated > ago(7d) | where OperationName has_any ( "Update policy", "Delete policy", "Unlink policy" ) | where Category == "GroupManagement" | project TimeGenerated, OperationName, InitiatedBy, TargetResources, Result | order by TimeGenerated desc ``` ## Contexto LATAM > [!latam] Relevância Regional > **Active Directory é o alvo primário em ataques de longa duração a organizações brasileiras.** Segundo a Tempest Security Intelligence, mais de 80% das grandes empresas brasileiras possuem Active Directory como infraestrutura de identidade — tornando-o alvo de alto valor. Ataques documentados ao setor financeiro e industrial brasileiro em 2024 incluíram **DCSync** para extração em massa de hashes NTLM e **modificação de GPOs** para distribuição de ransomware em toda a frota corporativa. O **Microsoft Defender for Identity** (MDI) oferece detecção nativa dessas técnicas e é recomendado para organizações com AD na região — mas sua adoção ainda é baixa no segmento SMB brasileiro, criando lacunas críticas. ## Referências - [MITRE ATT&CK - DS0026 Active Directory](https://attack.mitre.org/datasources/DS0026/) - [DCSync Detection - Microsoft](https://learn.microsoft.com/en-us/defender-for-identity/dcerpc-lateral-movement-alert) - [DCShadow Attack - Semperis](https://www.semperis.com/blog/) - [Microsoft Defender for Identity](https://learn.microsoft.com/en-us/defender-for-identity/what-is)