# T1552.006 - Group Policy Preferences
> [!warning] Vulnerabilidade Estrutural do Active Directory
> Embora o MS14-025 (2014) tenha eliminado a possibilidade de **criar novas** políticas com senhas embutidas, inúmeros ambientes corporativos ainda possuem arquivos GPP legados no SYSVOL com credenciais criptografadas com a chave AES que a Microsoft públicou na documentação pública. **Qualquer usuário de domínio pode decriptar essas senhas.**
## Técnica Pai
Esta é uma sub-técnica de [[t1552-unsecured-credentials|T1552 - T1552 - Unsecured Credentials]].
## Descrição
Adversários podem tentar localizar credenciais não protegidas nas **Group Policy Preferences (GPP)** - um recurso do Active Directory que permitia aos administradores distribuir configurações de contas locais, senhas de serviços e mapeamentos de drives por toda a organização via Política de Grupo.
O problema crítico: as credenciais armazenadas nas GPPs são criptografadas com uma chave AES-256 **estática e pública** - a Microsoft a públicou inadvertidamente na documentação técnica (MS-GPPREF), e ela nunca pode ser alterada. Isso significa que qualquer arquivo XML de GPP contendo o campo `cpassword` pode ser decriptado por qualquer pessoa com acesso de leitura ao compartilhamento **SYSVOL** - disponível por padrão para todos os usuários autenticados do domínio.
Esta é uma sub-técnica de [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] e é considerada um dos vetores de escalonamento de privilégio lateral mais prevalentes em auditorias de segurança de Active Directory.
Os tipos de configurações GPP que podem conter credenciais incluem:
- **Local Users and Groups** - criação de contas locais de administrador com senha
- **Scheduled Tasks** - tarefas agendadas executadas sob credenciais específicas
- **Services** - serviços do Windows configurados para rodar com conta de serviço
- **Drive Maps** - mapeamentos de drives de rede com credenciais embutidas
- **Data Sources** - DSNs ODBC com usuário e senha de banco de dados
## Como Funciona
O SYSVOL é um compartilhamento replicado entre todos os controladores de domínio que armazena scripts de logon, modelos de política e os arquivos XML das Group Policy Preferences. Ele é acessível via `\\<dominio>\SYSVOL\<dominio>\Policies\` por todos os usuários autenticados do domínio - sem necessidade de privilégios elevados.
**Passo a passo técnico:**
1. **Enumeração do SYSVOL:** O adversário com qualquer conta de domínio (inclusive contas de baixo privilégio) pode acessar o SYSVOL e buscar arquivos XML de GPP:
```
dir /s \\corp.local\SYSVOL\*.xml
findstr /si "cpassword" \\corp.local\SYSVOL\*.xml
```
2. **Localização dos campos `cpassword`:** Os arquivos XML relevantes são encontrados em subpastas como:
- `\Machine\Preferences\Groups\Groups.xml` (contas locais)
- `\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml`
- `\Machine\Preferences\Services\Services.xml`
- `\User\Preferences\Drives\Drives.xml`
O campo cpassword contém a senha criptografada em Base64+AES:
```xml
<User clsid="{...}" name="Administrador" ... newName="" fullName=""
description="" cpassword="AzVJmXh6S+TRDBfYvLnIrA==..." .../>
```
3. **Decriptação:** A chave AES-256 pública (públicada pela Microsoft no MS-GPPREF) permite decriptação imediata com ferramentas como:
- **Get-GPPPassword** (PowerShell - [[s0194-powersploit|PowerSploit]])
- **gpp-decrypt** (ferramenta standalone)
- **Metasploit** módulo `post/windows/gather/credentials/gpp`
- **CrackMapExec** com `--gpp-passwords`
4. **Reutilização de credenciais:** As senhas obtidas são frequentemente senhas de administrador local comuns a todas as máquinas do domínio (configuradas via GPO para padronização) - tornando possível o movimento lateral para centenas de sistemas com uma única credencial.
A chave AES usada para criptografia das GPPs foi públicada pela Microsoft na documentação [[ms-gppref]] e é:
```
4e 99 06 e8 fc b6 6c c9 fa f4 93 10 62 0f fe e8
f4 96 e8 06 cc 05 79 90 20 9b 09 a4 33 b6 6c 1b
```
## Attack Flow
```mermaid
graph TB
A[Acesso Inicial<br/>Qualquer conta de domínio válida] --> B[Enumeração do SYSVOL<br/>dir /s \\dominio\\SYSVOL\\*.xml]
B --> C[Localização de Arquivos GPP<br/>Groups.xml / ScheduledTasks.xml]
C --> D{Campo cpassword\nencontrado?}
D -->|Sim| E[Decriptação com Chave AES Pública<br/>Get-GPPPassword / gpp-decrypt]
D -->|Não| F[Busca em outras sub-políticas<br/>Drives.xml / Services.xml]
F --> C
E --> G[Obtenção de Credenciais em Texto Claro<br/>Senha de admin local / conta de serviço]
G --> H{Tipo de credencial}
H -->|Admin local\ncomum a múltiplas máquinas| I[Movimento Lateral<br/>T1021 - Pass-the-Hash / PTH]
H -->|Conta de serviço| J[Escalada de Privilégio<br/>Acesso a sistemas de maior valor]
H -->|Conta de usuário| K[Comprometimento de Conta<br/>T1078 - Valid Accounts]
I --> L[Comprometimento em Escala<br/>Acesso a toda a organização]
J --> L
K --> L
style A fill:#4ecdc4,color:#fff
style E fill:#ffd93d,color:#333
style G fill:#ff6b6b,color:#fff
style L fill:#ff6b6b,color:#fff
```
## Exemplos de Uso
### APT33 (Elfin / Refined Kitten)
O grupo iraniano [[g0064-apt33|APT33]], com histórico de ataques a setores de aviação, petroquímico e energia, utiliza GPP credential harvesting como etapa de reconhecimento pós-comprometimento inicial. Em campanhas documentadas contra o setor de energia do Oriente Médio e América do Norte, o grupo combinou acesso via [[t1566-phishing|Phishing]] (T1566) com busca automatizada por credenciais GPP para escalar privilégios rapidamente após a infecção inicial.
### Wizard Spider (TrickBot / Ryuk / Conti)
[[g0102-conti-group|Wizard Spider]], operador do ecossistema TrickBot/Ryuk/Conti, documentadamente incorpora varredura de GPP credentials em suas ferramentas de movimento lateral pós-infecção. O módulo de coleta de credenciais do TrickBot inclui enumeração de SYSVOL como vetor de escalonamento horizontal, permitindo que uma infecção isolada se propague para administradores locais de toda a rede antes da fase de ransomware.
### Operadores de Red Team e Pentest
A técnica é tão bem documentada e prevalente que se tornou um dos primeiros passos automatizados em frameworks de Red Team como [[s0363-empire|Empire]], [[metasploit|Metasploit]] e [[s0488-crackmapexec|CrackMapExec]]. Em assessments de segurança no Brasil, é rotineiramente encontrada em organizações que migraram de versões mais antigas do Windows Server sem limpar o SYSVOL legado.
## Detecção
### Indicadores de Comprometimento
- Acessos anômalos ao compartilhamento SYSVOL por contas de baixo privilégio, especialmente com enumeração recursiva de arquivos XML
- Execução de ferramentas conhecidas como `Get-GPPPassword`, `gpp-decrypt` ou invocação de módulos Metasploit a partir de workstations
- Processos PowerShell com argumentos contendo `SYSVOL`, `cpassword` ou `Groups.xml`
- Acessos ao SYSVOL fora do horário de logon esperado da conta
### Regra Sigma - Acesso a Credenciais GPP
```yaml
title: Group Policy Preferences - Acesso Suspeito a Arquivos de Credenciais no SYSVOL
status: experimental
description: |
Detecta acesso a arquivos XML de Group Policy Preferences que podem conter
credenciais criptografadas com a chave AES pública (cpassword).
Foco em acessos de contas não administrativas ou fora de controladores de domínio.
logsource:
product: windows
category: file_access
detection:
selection_sysvol_xml:
FileName|contains:
- '\SYSVOL\'
FileName|endswith:
- 'Groups.xml'
- 'ScheduledTasks.xml'
- 'Services.xml'
- 'Drives.xml'
- 'DataSources.xml'
filter_dc_accounts:
SubjectUserName|endswith: '