det0136-behavior-chain-detection-for-t1134005-access-token-manipulation-sid-hist

# DET0136 — Behavior-chain detection for T1134.005 Access Token Manipulation: SID-History Injection (Windows) ## Descrição Esta estratégia detecta a injeção de SID-History em objetos de usuário do Active Directory, técnica T1134.005 utilizada para escalar privilégios ou manter persistência furtiva. Um adversário com privilégios de Domain Admin (ou DCSync access) pode adicionar o SID de um grupo privilegiado (como Domain Admins ou Enterprise Admins) ao atributo `SIDHistory` de uma conta comum, concedendo-lhe os mesmos privilégios sem modificar a associação de grupo visível. A cadeia comportamental característica inclui: reconhecimento de SIDs privilegiados, modificação do atributo `SIDHistory` via LDAP ou ferramentas como `mimikatz sid::patch`, e posterior autenticação da conta modificada demonstrando acesso elevado. O Event ID 4765 (SID-History adicionado) é o log de auditoria mais direto, mas requer políticas de auditoria de gerenciamento de contas habilitadas. A telemetria chave inclui Event ID 4765 e 4766 em controladores de domínio, alertas de modificação do atributo LDAP `sIDHistory`, e correlação com o Event ID 4672 (logon com privilégios especiais) para a conta modificada. Ferramentas de detecção de AD como Microsoft Defender for Identity detectam específicamente esta técnica. ## Indicadores de Detecção - Event ID 4765 (SID-History adicionado a conta) em controlador de domínio - Event ID 4766 (tentativa de adicionar SID-History falhou) — pode indicar sondagem - Modificação do atributo LDAP `sIDHistory` por conta fora do processo de migração de domínio - Conta com `sIDHistory` contendo SID de grupo privilegiado (Domain Admins, Enterprise Admins) - Event ID 4672 para conta comum com SID-History contendo SID de grupo de alto privilégio ## Técnicas Relacionadas - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] ## Analytics Relacionadas - [[an0383-analytic-0383|AN0383 — Analytic 0383]] --- *Fonte: [MITRE ATT&CK — DET0136](https://attack.mitre.org/detectionstrategies/DET0136)*