det0589-detect-modification-of-authentication-process-via-reversible-encryption

# DET0589 — Detect Modification of Authentication Process via Reversible Encryption ## Descrição A habilitação de criptografia reversível para senhas de usuários no Active Directory ([[T1556.005 - Modify Authentication Process Reversible Encryption|T1556.005]]) é uma configuração extremamente perigosa que armazena senhas de usuários de forma que possam ser descriptografadas — equivalente a armazenar senhas em texto claro. Quando a política "Store passwords using reversible encryption" é habilitada em uma GPO ou na conta individual do usuário, as senhas ficam acessíveis via lsadump, permitindo recuperação das senhas reais (não apenas hashes) de todos os usuários afetados. Adversários que obtêm privilégios de Domain Admin podem habilitar essa configuração silenciosamente em contas específicas de alto valor ou em toda a política de domínio, aguardando que os usuários troquem suas senhas na próxima rotação. Na próxima mudança de senha, o novo valor é armazenado de forma recuperável. Isso cria uma backdoor de longo prazo que persiste mesmo após a detecção e remoção do acesso inicial do adversário. A detecção monitora mudanças na flag `ENCRYPTED_TEXT_PWD_ALLOWED` em objetos de usuário AD (Event ID 4738 — conta de usuário modificada) e alterações em GPOs de política de senha (Event ID 5136 — objeto de diretório modificado com atributo de política). Auditar regularmente todas as contas com essa flag ativa via `Get-ADUser -Filter {AllowReversiblePasswordEncryption -eq $true}` é uma medida proativa essencial. ## Indicadores de Detecção - Event ID 4738: modificação de conta de usuário com flag `AllowReversiblePasswordEncryption` habilitada - Event ID 5136: GPO de senha do domínio modificada para habilitar criptografia reversível - `Set-ADUser -AllowReversiblePasswordEncryption $true` executado por processo ou script suspeito - Conta de alto privilégio (Domain Admins, Executive) com `AllowReversiblePasswordEncryption = True` - Alteração de Política de Senha Fina (PSO) habilitando criptografia reversível para grupo específico - Auditoria periódica retornando contas com essa flag que não constavam no baseline anterior ## Técnicas Relacionadas - [[T1556.005-modify-authentication-process-reversible-encryption|T1556.005 — Reversible Encryption]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] ## Analytics Relacionadas - [[an1621-analytic-1621|AN1621 — Analytic 1621]] --- *Fonte: [MITRE ATT&CK — DET0589](https://attack.mitre.org/detectionstrategies/DET0589)*