t1003-006-dcsync - RunkIntel

# T1003.006 - DCSync ## Técnica Pai Esta é uma sub-técnica de [[t1003-os-credential-dumping|T1003 - T1003 - OS Credential Dumping]]. ## Descrição DCSync é uma técnica de acesso a credenciais em que o adversário simula o comportamento de um Controlador de Domínio legítimo para solicitar a replicação de hashes de senha diretamente do Active Directory. O mecanismo explorado é o protocolo **MS-DRSR** (*Directory Replication Service Remote Protocol*), utilizado por DCs reais para sincronizar dados entre si. Um atacante com as permissões corretas - tipicamente membros de *Administrators*, *Domain Admins* ou *Enterprise Admins* - pode enviar requisições `GetNCChanges` e obter credenciais de qualquer conta do domínio sem precisar executar código no próprio DC. A grande vantagem operacional do DCSync para os atacantes é a furtividade: nenhum código precisa ser injetado no processo `lsass.exe`, o que reduz drasticamente a visibilidade para soluções de EDR baseadas em memória. Os hashes obtidos - incluindo o hash `NTLM` da conta [[t1558-001-golden-ticket|KRBTGT]] - permitem ao adversário forjar [[t1558-001-golden-ticket|Golden Tickets]] para [[t1550-003-pass-the-ticket|Pass-the-Ticket]], executar movimentação lateral e manter persistência de longo prazo mesmo após reinicializações do domínio. A implementação mais conhecida da técnica está no módulo `lsadump::dcsync` do [[mimikatz|Mimikatz]], mas frameworks como [[s0154-cobalt-strike|Cobalt Strike]] e [[s0357-impacket|Impacket]] também oferecem implementações nativas. A técnica é frequentemente combinada com [[t1098-account-manipulation|Account Manipulation]] para alterar senhas de contas privilegiadas após o dump, consolidando o controle do ambiente. **Contexto Brasil/LATAM:** O grupo [[g1004-lapsus|LAPSUS$]], de origem brasileira, popularizou o uso de DCSync em intrusões de alto perfil contra empresas de tecnologia e telecomúnicações na América Latina e Europa entre 2021 e 2022. Organizações brasileiras dos setores financeiro e de governo com Active Directory mal segmentado - um padrão comum em ambientes legados - são alvos prioritários, pois a separação inadequada de privilégios facilita a obtenção das permissões de replicação necessárias para executar o ataque. **Event IDs relevantes:** | Event ID | Canal | Descrição | |----------|-------|-----------| | `4662` | Security | Operação realizada em objeto AD - verificar permissão `{1131f6aa-...}` (replicação) | | `4624` | Security | Logon bem-sucedido da conta executando o DCSync | | `4673` | Security | Serviço privilegiado chamado - complementar ao 4662 | | `5136` | Security | Objeto AD modificado - útil quando combinado com `4662` | **Regra Sigma:** ```yaml title: DCSync Attack via MS-DRSR id: 611eab06-a145-4dfa-a295-3ccc5c20f59a status: stable description: Detecta operação de replicação DCSync pela presença do Event 4662 com GUIDs de replicação DS references: - https://attack.mitre.org/techniques/T1003/006/ logsource: product: windows service: security detection: selection: EventID: 4662 Properties|contains: - '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2' - '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2' - '89e95b76-444d-4c62-991a-0facbeda640c' filter_legit_dc: SubjectUserName|endswith: ' condition: selection and not filter_legit_dc falsepositives: - Ferramentas legítimas de replicação AD (AD Connect, AADSync) - adicionar à allowlist por nome de conta level: high tags: - attack.credential_access - attack.t1003.006 ``` ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Escalada de Privilégios] B --> C{T1003.006 - DCSync}:::highlight C --> D[Hash NTLM / KRBTGT] D --> E[Movimento Lateral / Persistência] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário obtém credenciais de uma conta com permissões de replicação no domínio - geralmente via phishing, exploração de vulnerabilidade ou movimentação lateral prévia. As permissões necessárias são `DS-Replication-Get-Changes` e `DS-Replication-Get-Changes-All`, atribuídas por padrão apenas a *Domain Admins*, *Enterprise Admins* e ao próprio *SYSTEM* dos DCs. ### 2. Execução Com as credenciais adequadas, o atacante utiliza [[mimikatz|Mimikatz]] (`lsadump::dcsync /domain:<domínio> /user:krbtgt`) ou [[s0357-impacket|Impacket]] (`secretsdump.py`) para enviar requisições `GetNCChanges` ao DC real, que responde com os hashes das contas solicitadas como se estivesse falando com outro DC legítimo. Nenhum código é executado no servidor-alvo. ### 3. Pós-execução Os hashes coletados são usados para criar [[t1558-001-golden-ticket|Golden Tickets]] (via hash do KRBTGT), realizar ataques de [[t1550-003-pass-the-ticket|Pass-the-Ticket]], ou executar autenticação via [[t1550-002-pass-the-hash|Pass-the-Hash]] em sistemas que aceitam autenticação NTLM. O adversário pode também alterar senhas via [[t1098-account-manipulation|Account Manipulation]] para garantir acesso persistente com credenciais conhecidas. ## Detecção > [!warning] Fontes de Detecção Recomendadas > A detecção confiável exige correlação entre logs de rede (tráfego MS-DRSR) e eventos do Windows Security Log. Falsos negativos são comuns quando apenas um dos dois é monitorado. ## Mitigação | ID | Mitigação | Ação Prática para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1026-privileged-account-management\|M1026]] | Gestão de Contas Privilegiadas | Auditar e remover permissões `DS-Replication-Get-Changes-All` de contas que não sejam DCs ou serviços críticos; usar Tier Model do AD | | [[m1015-active-directory-configuration\|M1015]] | Configuração do Active Directory | Habilitar AD Protected Users Security Group para contas críticas; implementar PAW (*Privileged Access Workstations*) | | [[m1027-password-policies\|M1027]] | Políticas de Senha | Rotacionar hash do KRBTGT a cada 180 dias e sempre após suspeita de comprometimento; usar senhas longas e aleatórias para service accounts | | - | Segmentação de Rede | Bloquear tráfego MS-DRSR (porta 135/TCP + RPC dinâmico) originando de estações de trabalho - apenas DCs devem iniciar replicação | | - | Detecção Comportamental | Alertar para qualquer conta não-DC que emita requisições `GetNCChanges`; correlacionar com Sysmon Event ID 3 (conexão de rede) | ## Threat Actors - [[g1006-earth-lusca|Earth Lusca]] - grupo de espionagem chinês que usa DCSync como etapa de consolidação após comprometimento inicial de servidores web expostos. - [[g0129-mustang-panda|Mustang Panda]] - APT chinês com histórico de campanhas contra governo e ONGs; usa DCSync para dominar o domínio antes de exfiltrar dados estratégicos. - [[g1053-storm-0501|Storm-0501]] - agente de ransomware-as-a-service que combina DCSync com [[t1486-data-encrypted-for-impact|criptografia de dados]] para maximizar impacto em redes corporativas. - [[g1004-lapsus|LAPSUS$]] - grupo de extorsão com origem no Brasil que popularizou o uso de DCSync em intrusões públicas de alto impacto contra empresas de tecnologia globais. ## Software Associado - [[mimikatz|Mimikatz]] - ferramenta de referência para DCSync via módulo `lsadump::dcsync`; amplamente disponível e usada tanto por atacantes quanto em Red Team. - [[s0154-cobalt-strike|Cobalt Strike]] - framework C2 com módulo `dcsync` integrado; frequentemente usado por grupos de ransomware após obtenção de acesso de domínio. - [[s0357-impacket|Impacket]] - biblioteca Python com `secretsdump.py` que implementa DCSync sem dependência do Mimikatz, dificultando detecções baseadas em assinatura. --- *Fonte: [MITRE ATT&CK - T1003.006](https://attack.mitre.org/techniques/T1003/006)*