det0305-detection-of-group-policy-modifications-via-ad-object-changes-and-file-a

# DET0305 — Detection of Group Policy Modifications via AD Object Changes and File Activity ## Descrição Esta estratégia detecta modificações não autorizadas em Group Policy Objects (GPOs) do Active Directory, uma técnica usada por adversários para distribuir configurações maliciosas em escala para todos os sistemas de um domínio — incluindo scripts de logon, configurações de segurança, distribuição de malware e desativação de controles de segurança. Modificações em GPOs são altamente impactantes pois afetam centenas ou milhares de endpoints simultaneamente. Os indicadores incluem modificações em objetos AD do tipo `groupPolicyContainer` (evento 5136 — objeto AD modificado), alterações em arquivos dentro do SYSVOL (`\\domain\SYSVOL\domain\Policies\{GUID}\`) especialmente em scripts de logon (`User\Scripts\Logon.xml`, `Machine\Scripts\Startup.xml`), e criação de novos GPOs por contas que normalmente não realizam esta operação. O Event ID 4739 (política de domínio alterada) e auditoria de SYSVOL são fontes críticas. [[g0016-apt29|APT29]] utilizou modificações em GPOs durante o ataque à SolarWinds para distribuição de implants em escala. Grupos de ransomware como [[blackcat|BlackCat]] e [[lockbit|LockBit]] modificam GPOs para desabilitar Windows Defender em todos os endpoints antes da execução do ransomware, tornando esta detecção crítica para resposta precoce. ## Indicadores de Detecção - Event ID 5136: modificação em objeto `groupPolicyContainer` por conta não pertencente ao time de AD - Alteração de arquivo em `\\domain\SYSVOL\domain\Policies\` por processo não `gpupdaté.exe` ou RSAT - Novo arquivo `.ps1`, `.bat` ou `.vbs` criado em pasta de scripts de logon do SYSVOL - GPO criada ou modificada fora de janela de mudança aprovada (CMDB correlation) - Modificação de GPO que desabilita Windows Defender, antivirus ou auditoria de segurança - Conta com permissão de escrita em GPO que não tem histórico de operações de AD ## Técnicas Relacionadas - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0854-analytic-0854|AN0854 — Analytic 0854]] --- *Fonte: [MITRE ATT&CK — DET0305](https://attack.mitre.org/detectionstrategies/DET0305)*