# DET0828 — Detection of Network Trust Dependencies ## Descrição Adversários investigam dependências de confiança de rede — relações de trust entre domínios, conexões VPN com parceiros, integrações de API com fornecedores e acessos de terceiros — para identificar caminhos alternativos de entrada que contornam controles de segurança perimetral da organização-alvo direta. O ataque à cadeia de supply chain tecnológica, exemplificado pelo compromisso do SolarWinds (atribuído ao [[g0016-apt29]]) e o ataque ao MSP da Kaseya (associado ao [[revil-ransomware]]), demonstra como relações de confiança entre organizações podem ser exploradas para comprometer múltiplos alvos simultaneamente. O mapeamento de dependências de confiança inclui identificação de conexões VPN site-to-site com parceiros e fornecedores, relações de trust de Active Directory entre domínios, integrações OAuth/SAML com IdPs externos, e acessos de MSPs (Managed Service Providers) com privilégios administrativos. Ferramentas como `BloodHound` e `ADExplorer` automatizam o mapeamento de relações de confiança de domínio após um acesso inicial, permitindo ao atacante identificar caminhos de movimentação lateral para alvos adjacentes. A detecção deve incluir auditoria regular de relações de trust de domínio e conexões de rede com terceiros, monitoramento de acessos privilegiados por contas de parceiros e MSPs, e implementação de princípio de menor privilégio em todas as relações de trust. Detecção de enumeração de trust de domínio (consultas LDAP para `trustedDomain`, execução de `nltest /domain_trusts`) e acesso incomum via conexões de parceiros são indicadores primários, relacionados a [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] e [[t1482-domain-trust-discovery|T1482-domain-trust-discovery]]. ## Indicadores de Detecção - Execução de `nltest /domain_trusts`, `Get-ADTrust` ou equivalentes por contas não administrativas - Consultas LDAP para objetos `trustedDomain` ou `crossRefContainer` por hosts não esperados - Acessos de contas de parceiros/MSPs em horários incomuns ou a sistemas fora do escopo acordado - Tráfego de rede incomum via conexões VPN site-to-site com volumes anormais ou destinos não esperados - Tentativas de autenticação Kerberos com tickets cross-domain de domínios de parceiros - Enumeração de conexões de confiança externas em compartilhamentos de documentação de rede - Correlação de acesso via conta de terceiro com descoberta subsequente de sistemas internos ## Técnicas Relacionadas - [[t1590-gather-victim-network-information|T1590-gather-victim-network-information]] — mapeamento de topologia de rede e dependências - [[t1482-domain-trust-discovery|T1482-domain-trust-discovery]] — enumeração de relações de trust de domínio - [[t1199-trusted-relationship|T1199-trusted-relationship]] — abuso de relações de confiança para acesso inicial - [[t1078-valid-accounts|T1078-valid-accounts]] — uso de contas de parceiros comprometidas para acesso - [[t1021-remote-services|T1021-remote-services]] — movimentação lateral via serviços de acesso remoto de parceiros ## Analytics Relacionadas - [[an1960-analytic-1960|AN1960 — Analytic 1960]] --- *Fonte: [MITRE ATT&CK — DET0828](https://attack.mitre.org/detectionstrategies/DET0828)*