active-directory - RunkIntel

# Active Directory > identity · Vendor: [[_microsoft|Microsoft]] > [!latam] Presença no Brasil e LATAM > O Active Directory é o alicerce de autenticação de práticamente toda organização corporativa no Brasil - do governo federal às grandes redes bancárias, passando por indústrias e operadoras de saúde. Grupos de ransomware ativos no Brasil como **LockBit**, **BlackCat** e **Cl0p** exploram sistematicamente o AD como caminho para comprometimento total de domínio. Relatórios do **CERT.br** e do **CTIR Gov** registram ataques recorrentes de Kerberoasting e DCSync contra organizações brasileiras. Ferramentas como **BloodHound** e **Impacket** são amplamente documentadas em incidentes nacionais investigados por empresas como **Tempest** e **Redbelt Security**. ## Visão Geral **Active Directory Domain Services (AD DS)** é o serviço de diretório e autenticação central de práticamente todas as redes corporativas Windows no mundo. Responsável por autenticação (Kerberos, NTLM), autorização, gestão de políticas de grupo e replicação de diretório entre domain controllers. **Dados do produto:** - Categoria: Identidade e acesso (IAM) - Vendor: [[_microsoft|Microsoft]] - Presença no Brasil/LATAM: Onipresente - base de autenticação de governo, bancos, indústria e grandes empresas - Protocolo principal: Kerberos v5 Após 25+ anos de existência, o AD permanece como **alvo primário** de práticamente todas as operações de ameaça avançada. Segundo o Verizon DBIR 2025, ~20% dos breaches envolvem exploração de vulnerabilidades conhecidas, e uma análise da Sophos (2023) mostrou que atacantes levam em média apenas **16 horas** para comprometer o AD após acesso inicial. ## Superficie de Ataque > [!danger] Alvo Universal > O Active Directory é explorado por virtualmente todos os grupos APT, gangues de ransomware e operadores de crime cibernético. Comprometer o AD equivale a comprometer toda a organização. ### Ataques ao Protocolo Kerberos | Técnica | MITRE ID | Descrição | |---------|----------|-----------| | **Kerberoasting** | [[t1558-steal-or-forge-kerberos-tickets\|T1558]].003 | Solicita tickets de serviço (TGS) para contas com SPN e realiza brute-force offline para descobrir senhas. Não requer privilégios elevados. | | **AS-REP Roasting** | [[t1558-steal-or-forge-kerberos-tickets\|T1558]].004 | Explora contas com pré-autenticação Kerberos desabilitada para obter TGTs crackeáveis. | | **Golden Ticket** | [[t1558-steal-or-forge-kerberos-tickets\|T1558]].001 | Forja TGTs usando o hash do KRBTGT, concedendo acesso irrestrito a todo o domínio. Persistência até rotação dupla do KRBTGT. | | **Silver Ticket** | [[t1558-steal-or-forge-kerberos-tickets\|T1558]] | Forja tickets de serviço (TGS) usando hash de conta de serviço, permitindo acesso stealth a serviços específicos sem contato com DC. | | **Pass-the-Ticket** | [[t1550-use-alternate-authentication-material\|T1550]].003 | Reutiliza tickets Kerberos roubados da memória para impersonar usuários legítimos e realizar movimento lateral. | | **Overpass-the-Hash** | [[t1550-use-alternate-authentication-material\|T1550]] | Usa hash de senha para obter ticket Kerberos, combinando pass-the-hash com autenticação Kerberos. | ### Ataques de Replicacao e Persistência | Técnica | MITRE ID | Descrição | |---------|----------|-----------| | **DCSync** | [[t1003-os-credential-dumping\|T1003]].006 | Impersona domain controller para extrair hashes de senha via protocolo de replicação AD (DS-Replication-Get-Changes-All). Ferramenta: Mimikatz, Impacket. | | **DCShadow** | [[t1207-rogue-domain-controller\|T1207]] | Registra domain controller rogue para injetar modificações maliciosas no AD via replicação normal. Extremamente stealth. | ### Ataques ao AD Certificaté Services (AD CS) | Técnica | Descrição | |---------|-----------| | **ESC1** | Abusa templates de certificado mal configurados para solicitar certificados com privilégios elevados, permitindo escalação e movimento lateral. | | **ESC4** | Explora configurações de key escrow para recuperar chaves privadas do banco de dados da CA. | | **ESC8 (NTLM Relay / PetitPotam)** | Relays de autenticação NTLM contra serviços de enrollment do AD CS para comprometer contas privilegiadas. | ### Outros Vetores - **Unconstrained Delegation** - Feature legado do Kerberos que permite serviços impersonarem qualquer usuário; TGTs armazenados em memória podem ser extraídos. - **AdminSDHolder/ACL Abuse** - Modificação de permissões no objeto AdminSDHolder para persistência automática em grupos privilegiados. - **Hybrid AD + Azure AD** - Ataques que exploram sincronização entre AD on-premises e Entra ID (Azure AD) via Azure AD Connect, pivotando entre ambientes. ## Attack Flow Tipica ```mermaid graph TB A["Acesso Inicial (phishing, exploit)"] --> B["Kerberoasting ou AS-REP Roasting"] B --> C["Crack de Senhas (offline, Hashcat)"] C --> D["Escalacao de Privilegios (conta de servico → Domain Admin)"] D --> E["DCSync (extração de hashes)"] E --> F["Golden Ticket (persistência total)"] F --> G["Comprometimento do Dominio Completo"] style A fill:#ffc107,color:#000 style D fill:#dc3545,color:#fff style G fill:#dc3545,color:#fff ``` ## Ferramentas de Ataque Comuns - **Mimikatz** - Extração de credenciais, criação de Golden/Silver Tickets, DCSync - **Impacket** - Suite Python para DCSync (secretsdump.py), Kerberoasting, pass-the-ticket - **Rubeus** - Ferramenta .NET para ataques Kerberos (roasting, ticket forging, delegation abuse) - **Certipy** - Enumeracao e exploração de AD CS (ESC1-ESC8) - **BloodHound** - Mapeamento de caminhos de ataque em AD via grafos ## Mitigacoes Recomendadas - Migrar contas de serviço para **Group Managed Service Accounts (gMSA)** ou dMSA - **Desabilitar RC4** para encriptação Kerberos (padrão a partir do Windows Server 2025) - Auditar e remover SPNs não utilizados - Rotacionar senha do **KRBTGT** a cada 180 dias (reset duplo) - Habilitar **LSA Protection** em domain controllers - Implementar modelo de **administração em camadas (Tiered Admin)** - Adicionar contas privilegiadas ao grupo **Protected Users** - Habilitar **Credential Guard** em endpoints - Implementar **MFA** para todas as operações administrativas - Monitorar com [[microsoft-defender-endpoint|Defender for Identity]] para detectar Kerberoasting, Golden Ticket e DCSync ## Detecção | Event ID | Fonte | Indicador | |----------|-------|-----------| | 4768 | Domain Controller | Requisição de TGT (AS-REQ) - picos indicam AS-REP Roasting | | 4769 | Domain Controller | Requisição de TGS - encriptação RC4 + Ticket Options 0x40800000 indicam Kerberoasting | | 4771 | Domain Controller | Falha de pré-autenticação Kerberos - brute-force | | 4776 | Domain Controller | Validação de credenciais - enumeração AD | ## Notas Relacionadas **Vendor:** [[_microsoft|Microsoft]] **Atores que exploram AD:** [[g0016-apt29|APT29]] · [[g0125-silk-typhoon|Hafnium]] · [[g0032-lazarus-group|Lazarus Group]] · [[warlock-ransomware|Warlock]] **Produtos relacionados:** [[windows|Windows]] · [[exchange-server|Exchange Server]] · [[microsoft-defender-endpoint|Microsoft Defender]] · [[microsoft-sentinel|Microsoft Sentinel]] **Técnicas:** [[t1558-steal-or-forge-kerberos-tickets|T1558]] · [[t1550-use-alternate-authentication-material|T1550]] · [[t1003-os-credential-dumping|T1003]] · [[t1207-rogue-domain-controller|T1207]]