det0360-behavioral-detection-of-domain-group-discovery

# DET0360 — Behavioral Detection of Domain Group Discovery ## Descrição A enumeração de grupos de domínio é uma etapa crítica na fase de reconhecimento interno, onde o adversário mapeia grupos privilegiados do Active Directory — como Domain Admins, Enterprise Admins, e grupos de acesso a sistemas críticos — para identificar alvos de alto valor e planejar movimentação lateral e escalonamento de privilégios. Ferramentas como `net group /domain`, `Get-ADGroup`, consultas LDAP diretas e frameworks como [[s0521-bloodhound|BloodHound]] automatizam essa coleta, gerando volume anômalo de queries LDAP ao controlador de domínio. O padrão comportamental malicioso difere do uso administrativo legítimo pela origem dos processos executores (estações de trabalho comuns, não servidores de administração), pelo volume de consultas em curto período, e pela ausência de justificativa operacional registrada. Campanhas de ransomware tipicamente realizam enumeração de grupos antes de desativar backups e implantações de encriptação em massa; grupos APT utilizam a técnica para identificar administradores alvo de spear-phishing subsequente. A estratégia de detecção monitora eventos LDAP no controlador de domínio (Event ID 1644 no Windows), criação de processos com argumentos característicos de enumeração, e anomalias em padrões de acesso LDAP por estação de trabalho. Correlação com [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] e [[t1087-account-discovery|T1087-account-discovery]] aumenta a eficácia detectiva. ## Indicadores de Detecção - Execução de `net group /domain` ou `net localgroup` de contas não-administrativas - Consultas LDAP com filtro `(objectClass=group)` originadas de estações de trabalho - Múltiplas queries LDAP a partir de um único host em menos de 60 segundos (> 50 queries) - Uso de `Get-ADGroup -Filter *` ou `Get-ADGroupMember` em PowerShell remoto - Execução de [[s0521-bloodhound|BloodHound]] ou SharpHound detectada via assinatura de processo/comportamento - Event ID 4661 no DC (tentativa de acesso a objeto do AD com flags de leitura em massa) ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[T1069002-domain-groups|T1069.002 — Domain Groups]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1482-domain-trust-discovery|T1482 — Domain Trust Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an1025-analytic-1025|AN1025 — Analytic 1025]] - [[an1026-analytic-1026|AN1026 — Analytic 1026]] - [[an1027-analytic-1027|AN1027 — Analytic 1027]] --- *Fonte: [MITRE ATT&CK — DET0360](https://attack.mitre.org/detectionstrategies/DET0360)*