det0594-detection-of-unauthorized-dcsync-operations-via-replication-api-abuse

# DET0594 — Detection of Unauthorized DCSync Operations via Replication API Abuse ## Descrição O ataque DCSync ([[T1003.006 - OS Credential Dumping DCSync|T1003.006]]) abusa das APIs de replicação do Active Directory para extrair hashes de senha de qualquer usuário do domínio sem precisar de acesso físico ao Domain Controller. Ferramentas como `mimikatz lsadump::dcsync` e Impacket `secretsdump.py` emulam o comportamento de um DC fazendo replicação, utilizando a chamada `DsGetNCChanges()` do protocolo DRSUAPI para solicitar dados de objeto específico (incluindo hash de senha) do DC legítimo. Para executar o DCSync, o adversário precisa de privilégios `DS-Replication-Get-Changes` e `DS-Replication-Get-Changes-All` — que por padrão são concedidos apenas a Domain Controllers, Domain Admins e Enterprise Admins. Adversários que comprometem uma conta com esses privilégios (ou que os concederam a uma conta comprometida) podem extrair hashes de qualquer usuário, incluindo krbtgt (usado para forjar Golden Tickets), sem gerar eventos de logon suspeitos no DC. A detecção é altamente eficaz via Event ID 4662 no DC: eventos de acesso a objeto AD com GUIDs de replicação (`1131f6aa-9c07-11d1-f79f-00c04fc2dcd2` e `1131f6ad-9c07-11d1-f79f-00c04fc2dcd2`) originados de uma máquina que não é um DC legítimo são indicadores de alta fidelidade de DCSync. O tráfego DRSUAPI RPC entre estação de trabalho e DC também é detectável via análise de rede. ## Indicadores de Detecção - Event ID 4662 com GUID `1131f6aa-9c07-11d1-f79f-00c04fc2dcd2` de IP que não é DC legítimo - Event ID 4662 com GUID `1131f6ad-9c07-11d1-f79f-00c04fc2dcd2` por conta que não é DC account - Tráfego RPC DRSUAPI (`DsGetNCChanges`) entre workstation e DC sem justificativa de replicação - `mimikatz` ou `secretsdump.py` detectados em endpoint por EDR ou AV - Conta de usuário comum solicitando `DS-Replication-Get-Changes-All` no AD - Múltiplos Event ID 4662 de replicação em curto período para objetos diferentes (dump em massa) ## Técnicas Relacionadas - [[T1003.006-os-credential-dumping-dcsync|T1003.006 — DCSync]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[T1003.003-os-credential-dumping-ntds|T1003.003 — NTDS]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[T1550.001-use-alternate-authentication-material-application-access-token|T1550 — Use Alternate Authentication Material]] ## Analytics Relacionadas - [[an1632-analytic-1632|AN1632 — Analytic 1632]] --- *Fonte: [MITRE ATT&CK — DET0594](https://attack.mitre.org/detectionstrategies/DET0594)*