# T1078.002 - Domain Accounts ## Técnica Pai Esta é uma sub-técnica de [[t1078-valid-accounts|T1078 - T1078 - Valid Accounts]]. ## Descrição Contas de domínio gerenciadas pelo **Active Directory Domain Services (AD DS)** são o alvo preferêncial de adversários em ambientes corporativos Windows. Ao contrário de contas locais, contas de domínio concedem acesso a recursos distribuídos em toda a infraestrutura - servidores de arquivos, sistemas de e-mail, aplicações internas, VPNs e controladores de domínio. Quando comprometidas, essas credenciais permitem que o adversário opere como um usuário legítimo, misturando tráfego malicioso ao tráfego normal da organização e escapando de detecções baseadas em anomalias de comportamento de rede. A obtenção de credenciais de domínio pode ocorrer por diversas rotas: [[t1003-os-credential-dumping|OS Credential Dumping]] (via LSASS, SAM, NTDS.dit), ataques de phishing direcionados, pulverização de senhas (password spraying), exploração de serviços expostos, ou simplesmente pela reutilização de senhas descobertas em outros sistemas comprometidos. Uma vez obtidas, as credenciais permitem ao adversário executar técnicas de [[t1021-remote-services|Remote Services]], acessar compartilhamentos de rede via SMB, criar tarefas agendadas remotas e até solicitar tickets Kerberos para novos serviços (Pass-the-Ticket / Kerberoasting). O abuso de contas de domínio é especialmente perigoso porque a atividade auditada nos logs do Windows frequentemente parece indistinguível da de um usuário legítimo. **Contexto Brasil/LATAM:** O Active Directory é onipresente em organizações brasileiras de médio e grande porte - governo, bancos, indústria e saúde operam inteiramente sobre essa infraestrutura. Grupos de ransomware como [[g0102-conti-group|Wizard Spider]] (operadores do Ryuk/Conti) e [[g0119-indrik-spider|Indrik Spider]] (WastedLocker) documentadamente comprometem contas de domínio como pré-requisito para deploy de ransomware em larga escala - um padrão observado em ataques a hospitais, prefeituras e empresas de logística brasileiras nos últimos anos. A combinação de AD mal segmentado, ausência de MFA para VPN e contas de serviço com permissões excessivas cria um ambiente propício para o abuso dessa técnica no Brasil. ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br/>ou Comprometimento]) --> B([Coleta de<br/>Credenciais AD]) B --> C([Abuso de<br/>Conta de Domínio]):::highlight C --> D([Movimento Lateral<br/>e Escalada]) D --> E([Objetivo Final<br/>Ransomware/Exfil]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário, após o acesso inicial ao ambiente (via phishing, exploração de serviço, ou acesso por credencial VPN vazada), realiza reconhecimento interno do Active Directory para identificar contas de alto valor: administradores de domínio, contas de serviço com permissões delegadas, e contas de usuários com acesso a sistemas sensíveis. Ferramentas como BloodHound/SharpHound são frequentemente usadas para mapear caminhos de escalada de privilégio dentro do AD, identificando o caminho de menor resistência até um Domain Admin. As credenciais-alvo são obtidas via [[t1003-os-credential-dumping|OS Credential Dumping]], Kerberoasting, ou reutilização de senhas de sistemas já comprometidos. ### 2. Execução Com as credenciais de domínio em mãos, o adversário inicia o abuso de contas legítimas para ações pós-comprometimento. Isso inclui: autenticação em serviços de rede (SMB, WinRM, RDP) com credenciais válidas; criação de tarefas agendadas remotas via `schtasks` em múltiplos hosts; acesso a compartilhamentos de arquivo para exfiltração ou para plantar payloads; e, no caso de credenciais de Domain Admin, acesso direto ao NTDS.dit para extração de todos os hashes do domínio. Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]] e [[s0357-impacket|Impacket]] são frequentemente usadas para executar essas ações de forma integrada. ### 3. Pós-execução O abuso de contas de domínio habilita persistência de longo prazo - o adversário pode criar novas contas no AD, adicionar contas existentes a grupos privilegiados, modificar ACLs de objetos do AD, e configurar delegação Kerberos não constrangida para facilitar futuras autenticações. Grupos de ransomware encerram esta fase com o deploy do payload em todos os hosts do domínio via Group Policy Object (GPO) ou PsExec autenticado com credenciais de Domain Admin - maximizando o impacto do ataque em uma única execução coordenada. ## Detecção **Event IDs relevantes (Windows / Active Directory):** | Event ID | Log | Descrição | |----------|-----|-----------| | `4624` | Security | Logon bem-sucedido - monitorar tipo 3 (rede) e tipo 10 (remoto interativo) em horários atípicos | | `4625` | Security | Falha de logon - volume elevado indica spraying de senhas | | `4768` / `4769` | Security (DC) | Requisição de Ticket Kerberos (TGT/TGS) - base para detecção de Kerberoasting | | `4776` | Security (DC) | Validação de credencial NTLM - monitorar autenticações de contas privilegiadas via NTLM | | `4728` / `4732` | Security | Adição de conta a grupo de segurança privilegiado (Domain Admins, Enterprise Admins) | | `4720` | Security | Criação de nova conta de usuário no domínio | | `4672` | Security | Logon com privilégios especiais - indicador de uso de conta de alta privilegiação | **Sigma Rule - Uso Atípico de Conta de Domínio Privilegiada:** ```yaml title: Domain Admin Account Used for Lateral Movement id: 3b9e1f4c-72a8-4d35-b8f2-9c1e7d6a2b18 status: experimental description: Detecta autenticação de rede (tipo 3) usando contas do grupo Domain Admins em hosts que não são controladores de domínio - padrão comum em movimento lateral com credenciais de domínio comprometidas (T1078.002) references: - https://attack.mitre.org/techniques/T1078/002/ author: RunkIntel daté: 2026-03-24 tags: - attack.defense_evasion - attack.persistence - attack.privilege_escalation - attack.initial_access - attack.t1078.002 logsource: product: windows service: security detection: selection: EventID: 4624 LogonType: 3 SubjectUserName|contains: 'admin' filter_dc: WorkstationName|contains: - 'DC' - 'PDC' - 'BDC' condition: selection and not filter_dc falsepositives: - Administradores executando tarefas legítimas de gerenciamento remoto - Scripts de automação de TI autenticados com contas privilegiadas level: high ``` ## Mitigação | ID | Mitigação | Recomendação para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1032-multi-factor-authentication\|M1032]] | Multi-factor Authentication | Implementar MFA para **todas** as autenticações de contas privilegiadas - VPN, RDP, acesso ao portal de administração do AD. Esta é a medida de maior impacto contra abuso de credenciais comprometidas | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Adotar o modelo de Privileged Access Workstations (PAW) e tiered administration: contas de Domain Admin nunca devem ser usadas para acesso à internet ou e-mail | | [[m1018-user-account-management\|M1018]] | User Account Management | Auditar regularmente membros de grupos privilegiados (Domain Admins, Enterprise Admins); desativar contas inativas; revisar contas de serviço com permissões desnecessárias | | [[m1027-password-policies\|M1027]] | Password Policies | Implementar senhas longas e únicas para contas de serviço via Group Managed Service Accounts (gMSA); bloquear senhas comuns com Password Filter | | [[m1017-user-training\|M1017]] | User Training | Treinar usuários para identificar phishing de credenciais; simulações regulares de phishing com foco em captura de credenciais de domínio | ## Threat Actors - [[g0019-naikon|Naikon]] - APT asiático de espionagem que abusa de contas de domínio para persistência furtiva em redes governamentais por meses sem detecção - [[g1030-agrius|Agrius]] - grupo iraniano que compromete contas de AD como preparação para ataques destrutivos com wipers disfarçados de ransomware - [[g0102-conti-group|Wizard Spider]] - operadores do Ryuk e Conti; fazem escalada para Domain Admin antes de deploy massivo de ransomware - padrão observado em ataques a hospitais e governos brasileiros - [[g0034-sandworm|Sandworm Team]] - unidade GRU que usou contas de domínio comprometidas como vetor em ataques destrutivos contra infraestrutura crítica ucraniana, com táticas espelhadas em operações globais - [[g0049-oilrig|OilRig]] - APT iraniano que mantém persistência de longo prazo em redes via contas de domínio legítimas, dificultando expulsão mesmo após detecção inicial - [[g1021-cinnamon-tempest|Cinnamon Tempest]] - grupo chinês que combina acesso via contas de domínio com ransomware para monetização de operações de espionagem - [[g1022-toddycat|ToddyCat]] - APT focado em governo e defesa que utiliza contas de domínio para coleta silenciosa de dados por longos períodos - [[g0119-indrik-spider|Indrik Spider]] - desenvolvedor do WastedLocker; sistematicamente compromete AD para garantir cobertura total da rede antes do payload final - [[g0022-apt3|APT3]] - grupo chinês que utilizou abuso de contas de domínio como técnica central em campanhas de espionagem corporativa - [[g0114-chimera|Chimera]] - APT chinês focado em semicondutores e aviação; abusa de contas de domínio para exfiltração prolongada e furtiva de propriedade intelectual ## Software Associado - [[s1024-creepysnail|CreepySnail]] - backdoor usado pelo [[g1030-agrius|Agrius]] que opera sob credenciais de domínio comprometidas para exfiltração silenciosa - [[s0154-cobalt-strike|Cobalt Strike]] - framework de C2 amplamente utilizado para executar movimentos laterais com tokens de contas de domínio roubados via Beacon - [[s0446-ryuk|Ryuk]] - ransomware do [[g0102-conti-group|Wizard Spider]] que depende de credenciais de Domain Admin para se propagar via `net use` e `PsExec` em toda a rede - [[s0140-shamoon|Shamoon]] - wiper destrutivo que requer credenciais de domínio com privilégios para acessar e sobrescrever sistemas remotos em massa - [[s0603-stuxnet|Stuxnet]] - worm sofisticado que utilizou contas de domínio Windows para propagar-se lateralmente em redes de controle industrial (ICS/SCADA) --- *Fonte: [MITRE ATT&CK - T1078.002](https://attack.mitre.org/techniques/T1078/002)*