# DC0024 - Group Modification > [!info] Rastreia alterações em grupos de segurança — adições e remoções de membros, modificações de permissões. Indicador crítico de escalada de privilégios via adição não autorizada a grupos administrativos (Domain Admins, Administrators). ## Descrição Group Modification rastreia alterações em grupos de segurança, tanto em Active Directory quanto em sistemas locais, incluindo adições e remoções de membros, alterações de permissões e modificações nos atributos do grupo. É um data component crítico para detectar escalada de privilégio via adição não autorizada a grupos privilegiados (Domain Admins, Administrators), persistência por manutenção de acesso em grupos e modificação de permissões de grupos para contornar controles de acesso. ## Fonte de Dados Parent: [[ds0036-group|DS0036 - Group]] ## Pipeline de Detecção ```mermaid graph TB A["👥 Event ID 4728/4732<br/>Membro Adicionado"] --> B["🔍 Grupo Alvo<br/>Identificado"] B --> C{"⚠️ Grupo<br/>Privilegiado?"} C -->|Domain Admins| D["🚨 Alerta P1<br/>Escalada Crítica"] C -->|Schema/Enterprise| E["🚨 Alerta P1<br/>Privilégio Máximo"] C -->|Local Admins| F["🟧 Alerta P2<br/>Admin Local"] C -->|Fora do Horário| G["🟧 Alerta P2<br/>Hora Suspeita"] C -->|Grupo Padrão| H["✔️ Avaliar<br/>com Ticket"] classDef p1 fill:#e74c3c,color:#ecf0f1 classDef p2 fill:#e67e22,color:#ecf0f1 classDef ok fill:#2c3e50,color:#ecf0f1 class D,E p1 class F,G p2 class A,B,C,H ok ``` ## O Que Monitorar - Windows Event ID 4728 (Membro adicionado a grupo global de segurança) - Windows Event ID 4732 (Membro adicionado a grupo local de segurança) - Windows Event ID 4756 (Membro adicionado a grupo universal de segurança) - Windows Event ID 4735 (Grupo local de segurança modificado) - Windows Event ID 4737 (Grupo global de segurança modificado) - Adições a grupos privilegiados: Domain Admins, Schema Admins, Enterprise Admins - Adições de contas de serviço a grupos de usuários administrativos - Modificações de grupos fora de janelas de mudança aprovadas ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Account Manipulation | [[t1098-account-manipulation\|T1098]] | Conta adicionada a grupo privilegiado sem ticket de mudança | | Domain Policy Modification | [[t1484-domain-policy-modification\|T1484]] | Modificações em grupos de política de domínio | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Conta comprometida adicionada a grupos de acesso | | Create Account | [[t1136-create-account\|T1136]] | Nova conta imediatamente adicionada a grupo privilegiado | ## Implementação **Auditoria de grupos no AD:** ``` Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy > Account Management > Audit Security Group Management ``` **PowerShell - alerta de Domain Admins:** ```powershell # Exportar membros atuais para comparação Get-ADGroupMember "Domain Admins" | Select SamAccountName, DistinguishedName | Export-Csv "C:\baseline\domain-admins-$(Get-Date -Format yyyyMMdd).csv" ``` **SIEM - alertar adições a grupos críticos:** ``` index=windows EventCode=4728 OR EventCode=4732 | search TargetGroupName="Domain Admins" OR TargetGroupName="Administrators" | alert ``` **Ferramentas:** Microsoft Defender for Identity, Quest Change Auditor, Netwrix Auditor, Semperis Directory Services Protector, Wazuh. ## Consultas KQL — Microsoft Sentinel / Defender ### Adição a Grupos Privilegiados - Alerta Imediato ```kql // DC0024 - Adição a grupos de alto privilégio no AD let privileged_groups = dynamic([ "Domain Admins", "Schema Admins", "Enterprise Admins", "Group Policy Creator Owners", "Administrators", "Account Operators", "Backup Operators", "Print Operators", "Server Operators", "Remote Desktop Users" ]); SecurityEvent | where TimeGenerated > ago(1d) | where EventID in (4728, 4732, 4756) | where TargetUserName has_any (privileged_groups) | project TimeGenerated, Computer, SubjectUserName, // Quem fez a mudança SubjectDomainName, TargetUserName, // Quem foi adicionado GroupName = tostring(extract(@"Group Name:\s+([^\r\n]+)", 1, tostring(EventData))), TargetDomainName | order by TimeGenerated desc ``` ### Nova Conta Criada e Imediatamente Adicionada a Grupo Admin ```kql // DC0024 - Conta criada e adicionada a grupo privilegiado em menos de 10 minutos let account_creation = SecurityEvent | where TimeGenerated > ago(1d) | where EventID == 4720 // Conta criada | project CreatedAccount = TargetUserName, CreatedAt = TimeGenerated, CreatedBy = SubjectUserName; let group_addition = SecurityEvent | where TimeGenerated > ago(1d) | where EventID in (4728, 4732, 4756) | where TargetUserName has_any ( "Domain Admins", "Administrators", "Schema Admins" ) | project AddedAccount = MemberName, AddedAt = TimeGenerated, GroupName = TargetUserName; account_creation | join kind=inner group_addition on $left.CreatedAccount == $right.AddedAccount | where (AddedAt - CreatedAt) < 10m | project CreatedAccount, CreatedAt, CreatedBy, AddedAt, GroupName, delay_minutes = datetime_diff("minute", AddedAt, CreatedAt) | order by delay_minutes asc ``` ## Contexto LATAM > [!latam] Relevância Regional > **Escalada via modificação de grupos é etapa padrão em ataques de ransomware ao Brasil.** Após comprometimento inicial, grupos como **RansomHub** e operadores **LockBit** documentados em incidentes brasileiros adicionam contas de backdoor ao grupo **Domain Admins** para garantir acesso persistente mesmo após remoção de malware. Em empresas brasileiras com estrutura de holding (comum no setor financeiro e varejo), a modificação de grupos em um domínio filho pode propagar para toda a floresta AD. O **CTIR Gov** públicou alertas específicos em 2024 sobre comprometimento de contas AD de alto privilégio em órgãos federais — frequentemente via modificação silenciosa de grupos durante horários não monitorados. ## Referências - [MITRE ATT&CK - DS0036 Group](https://attack.mitre.org/datasources/DS0036/) - [Windows Event ID 4728 - Microsoft](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4728) - [AD Group Monitoring - Microsoft Defender for Identity](https://learn.microsoft.com/en-us/defender-for-identity/) - [CTIR Gov Alertas](https://ctir.gov.br)