det0367-detect-network-logon-script-abuse-via-multi-event-correlation-on-windows

# DET0367 — Detect Network Logon Script Abuse via Multi-Event Correlation on Windows ## Descrição Scripts de logon de rede são mecanismos legítimos do Active Directory que permitem executar scripts automaticamente quando um usuário faz login em um domínio, configurados via GPO ou diretamente no atributo `scriptPath` de objetos de usuário no AD. Adversários com acesso de escrita a compartilhamentos NETLOGON ou capacidade de modificar objetos de usuário no AD podem injetar scripts maliciosos que executarão no contexto de todos os usuários afetados ao próximo logon, atingindo potencialmente centenas de estações de trabalho simultaneamente. O abuso manifesta-se pela modificação do atributo `scriptPath` de contas de usuário AD para referênciar um script malicioso, ou pela colocação de scripts no compartilhamento `\\DOMAIN\NETLOGON\` que sobrepõem ou complementam scripts legítimos existentes. Essa técnica fornece persistência e movimentação lateral simultâneas. A detecção requer correlação de múltiplos eventos: modificação do objeto AD (Event ID 4738), acesso ao compartilhamento NETLOGON (Event ID 5140), e subsequente execução do script em estações de trabalho (criação de processos). A estratégia correlaciona eventos de autenticação (4624), modificação de conta AD (4738 com campo `Script Path` alterado), acesso a compartilhamento NETLOGON e execução de processos derivados de scripts de logon para identificar a cadeia completa de abuso. ## Indicadores de Detecção - Event ID 4738: modificação de conta de usuário com campo "Script Path" alterado - Arquivos `.bat`, `.vbs`, `.ps1`, `.cmd` criados ou modificados em `\\DOMAIN\NETLOGON\` - Acesso de escrita ao compartilhamento NETLOGON por conta não-administrativa (Event ID 5145) - Script de logon executando comandos de rede ou baixando payloads externos - Correlação: modificação de scriptPath + login subsequente de usuários afetados + anomalia de processo - Execução de PowerShell ou cmd.exe a partir do contexto de script de logon com argumentos suspeitos ## Técnicas Relacionadas - [[T1037003-network-logon-script|T1037.003 — Network Logon Script]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[T1078002-domain-accounts|T1078.002 — Domain Accounts]] - [[T1484001-group-policy-modification|T1484.001 — Group Policy Modification]] - [[T1021002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] ## Analytics Relacionadas - [[an1034-analytic-1034|AN1034 — Analytic 1034]] --- *Fonte: [MITRE ATT&CK — DET0367](https://attack.mitre.org/detectionstrategies/DET0367)*