det0586-detection-of-ntdsdit-credential-dumping-from-domain-controllers

# DET0586 — Detection of NTDS.dit Credential Dumping from Domain Controllers ## Descrição O dump do arquivo NTDS.dit ([[T1003.003 - OS Credential Dumping NTDS|T1003.003]]) é considerado um dos ataques mais devastadores em ambientes Active Directory. O arquivo `C:\Windows\NTDS\ntds.dit` é o banco de dados principal do AD que contém hashes de senha NTLM de todos os usuários e computadores do domínio. Com acesso a esse arquivo e à chave `SYSTEM` do registro (necessária para descriptografar os hashes), o adversário obtém credenciais de toda a organização. Grupos como [[conti]], [[blackbasta]] e [[g0032-lazarus-group]] realizam esse dump como passo padrão após comprometer um Domain Controller. O dump pode ser realizado por vários métodos: `ntdsutil "activaté instance ntds" "ifm" "creaté full C:\temp"` (cria uma cópia de instalação do AD), Shadow Copy (`vssadmin creaté shadow`), ou cópia direta via Volume Shadow Copy ou robocopy. Ferramentas como Impacket `secretsdump.py`, `mimikatz lsadump::dcsync` e Invoke-NinjaCopy são amplamente utilizadas. A técnica produz hashes que podem ser usados diretamente em Pass-the-Hash ou quebrados offline para obter senhas em texto claro. A detecção deve focar em múltiplos indicadores: criação de Shadow Copy ou IFM em um DC, acesso ao arquivo ntds.dit por processo não-NTDS, e ferramentas de secretsdump gerando tráfego DRSUAPI. O Event ID 4662 (acesso a objeto AD com propriedades de replicação) gerado fora de DCs legítimos é indicador crítico de DCSync, técnica correlacionada que dispensa acesso direto ao arquivo. ## Indicadores de Detecção - `vssadmin creaté shadow /for=C:` executado em Domain Controller fora de janela de backup - `ntdsutil "activaté instance ntds" "ifm" "creaté full"` executado por processo não-backup - Cópia direta de `ntds.dit` por processo não `ntdsa.dll` ou serviço NTDS - Event ID 4662 com operações de replicação (`1131f6aa-9c07-11d1-f79f-00c04fc2dcd2`) por não-DC - Acesso ao arquivo `%SYSTEMROOT%\NTDS\ntds.dit` por qualquer processo exceto `lsass.exe` - Transferência de arquivo de > 50MB do diretório NTDS para destino externo ao DC ## Técnicas Relacionadas - [[T1003.003-os-credential-dumping-ntds|T1003.003 — NTDS]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[T1003.006-os-credential-dumping-dcsync|T1003.006 — DCSync]] - [[T1078.002-valid-accounts-domain-accounts|T1078.002 — Domain Accounts]] - [[T1550.002-use-alternate-authentication-material-pass-the-hash|T1550.002 — Pass the Hash]] ## Analytics Relacionadas - [[an1611-analytic-1611|AN1611 — Analytic 1611]] --- *Fonte: [MITRE ATT&CK — DET0586](https://attack.mitre.org/detectionstrategies/DET0586)*