det0161-password-policy-discovery-cross-platform-behavior-chain-analytics

# DET0161 — Password Policy Discovery – cross-platform behavior-chain analytics ## Descrição Esta estratégia detecta a descoberta de políticas de senha por adversários (T1201), que coletam informações sobre requisitos mínimos de complexidade, histórico de senhas, duração mínima e bloqueio de contas para otimizar ataques de brute force, password spraying e criação de contas maliciosas que não violem a política. É uma etapa de reconhecimento frequente após acesso inicial antes de ataques de credenciais. Em Windows/Active Directory, os vetores incluem `net accounts`, `net accounts /domain`, consultas LDAP à política de senha de Default Domain Policy (atributo `ms-DS-MinimumPasswordLength`), e uso de BloodHound para coleta automática. Em Linux, `chage -l <user>`, leitura de `/etc/login.defs` e `/etc/pam.d/common-password`. Em macOS, `pwpolicy -getaccountpolicies` e `dscl . -read /Config/shadowhash`. A abordagem behavior-chain correlaciona a consulta de política de senha com atividades subsequentes: se seguida de tentativas de login em múltiplas contas (password spray) ou criação de nova conta respeitando exatamente os requisitos, eleva a confiança da detecção. Múltiplas plataformas cobertas com analytics específicas por OS. ## Indicadores de Detecção - `net accounts` ou `net accounts /domain` executado por conta de usuário comum - Consulta LDAP ao atributo `passwordProperties` ou `minPwdLength` da política de domínio - `chage -l` ou leitura de `/etc/login.defs` por processo em contexto de shell reverso - `pwpolicy -getaccountpolicies` no macOS por processo não-administrativo - BloodHound/SharpHound coletando políticas de senha como parte de enumeração de domínio ## Técnicas Relacionadas - [[t1201-password-policy-discovery|T1201 — Password Policy Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0455-analytic-0455|AN0455 — Analytic 0455]] - [[an0456-analytic-0456|AN0456 — Analytic 0456]] - [[an0457-analytic-0457|AN0457 — Analytic 0457]] - [[an0458-analytic-0458|AN0458 — Analytic 0458]] - [[an0459-analytic-0459|AN0459 — Analytic 0459]] - [[an0460-analytic-0460|AN0460 — Analytic 0460]] - [[an0461-analytic-0461|AN0461 — Analytic 0461]] --- *Fonte: [MITRE ATT&CK — DET0161](https://attack.mitre.org/detectionstrategies/DET0161)*