# DET0007 — Detection of Domain Trust Discovery via API, Script, and CLI Enumeration ## Descrição Esta estratégia detecta a enumeração de relações de confiança entre domínios Active Directory, realizada por atacantes após comprometimento inicial para mapear caminhos de movimento lateral para domínios confiantes. Ferramentas como `nltest`, `dsquery`, `Get-ADTrust` (PowerShell) e APIs nativas do LDAP são comumente utilizadas nessa fase de reconhecimento interno. A enumeração de trusts é um precursor direto de ataques como Pass-the-Ticket entre domínios, Golden Ticket inter-floresta e abuso de SID History. Em ambientes com múltiplos domínios ou florestas (corporações multinacionais, M&A), o mapeamento de trusts pelo atacante pode revelar caminhos inesperados para ativos críticos. Eventos de auditoria do Windows (Event ID 4661 — acesso a objeto de diretório, 1644 — consulta LDAP custosa) e logs de EDR para execução de `nltest.exe` e cmdlets de AD são as principais fontes de telemetria. Correlacionar múltiplas consultas em curto intervalo é o sinal de enumeração ativa. ## Indicadores de Detecção - Execução de `nltest /domain_trusts` ou `nltest /trusted_domains` por usuário não administrativo - Cmdlet `Get-ADTrust` executado fora de scripts de gestão conhecidos - Consulta LDAP ao atributo `trustedDomain` a partir de host de endpoint - Event ID 4661 com múltiplos acessos a objetos `trustedDomain` em curto intervalo - Uso de `dsquery * -filter "(objectClass=trustedDomain)"` por processo interativo ## Técnicas Relacionadas - [[t1482-domain-trust-discovery|T1482 — Domain Trust Discovery]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] ## Analytics Relacionadas - [[an0016-analytic-0016|AN0016 — Analytic 0016]] --- *Fonte: [MITRE ATT&CK — DET0007](https://attack.mitre.org/detectionstrategies/DET0007)*