det0381-detect-access-and-decryption-of-group-policy-preference-gpp-credentials-

# DET0381 — Detect Access and Decryption of Group Policy Preference (GPP) Credentials in SYSVOL ## Descrição Credenciais armazenadas em Group Policy Preferences (GPP) são um vetor clássico de comprometimento de Active Directory. Antes do MS14-025, administradores podiam configurar senhas de contas locais, serviços e tarefas agendadas via GPP, que armazenava essas credenciais em arquivos XML no compartilhamento SYSVOL em formato criptografado com AES-256 — porém com a chave de criptografia públicamente divulgada pela Microsoft na documentação do protocolo (MS-GPPREF). Qualquer usuário de domínio autenticado pode ler o SYSVOL, tornando essas credenciais recuperáveis por qualquer membro do domínio. Ferramentas como `Get-GPPPassword` (PowerShell), `gpp-decrypt` e módulos do [[Metasploit]] automatizam a busca e decriptografia dessas credenciais. Mesmo com o patch MS14-025 que bloqueia a criação de novas entradas GPP com senha, muitos ambientes ainda possuem GPOs legadas não corrigidas. A técnica é frequentemente usada como primeiro passo para escalonamento de privilégios em domínios Windows corporativos, especialmente em ambientes com histórico de administração inconsistente. A detecção monitora acesso ao compartilhamento SYSVOL para leitura de arquivos XML de GPP (especialmente `Groups.xml`, `Services.xml`, `ScheduledTasks.xml`), execução de scripts de decriptografia de GPP, e correlação com autenticação subsequente usando as credenciais descobertas. ## Indicadores de Detecção - Acesso de leitura a `\\DOMAIN\SYSVOL\*\Policies\*\Machine\Preferences\Groups\Groups.xml` - Leitura de múltiplos arquivos XML de GPP em SYSVOL por uma conta de usuário comum em sequência - Execução de `Get-GPPPassword`, `findstr /s cpassword \\DOMAIN\sysvol\` ou equivalente - Processo decodificando string Base64 seguido de decriptografia AES (padrão de gpp-decrypt) - Autenticação como conta local descoberta via GPP imediatamente após leitura de SYSVOL - Event ID 5145: acesso ao compartilhamento SYSVOL com padrão de arquivo `*.xml` em múltiplos subpaths ## Técnicas Relacionadas - [[T1552006-group-policy-preferences|T1552.006 — Group Policy Preferences]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1069002-domain-groups|T1069.002 — Domain Groups]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] ## Analytics Relacionadas - [[an1075-analytic-1075|AN1075 — Analytic 1075]] --- *Fonte: [MITRE ATT&CK — DET0381](https://attack.mitre.org/detectionstrategies/DET0381)*