# T1207 - Rogue Domain Controller
## Descrição
A técnica T1207 - Rogue Domain Controller descreve o método pelo qual adversários registram um Controlador de Domínio (DC) desonesto no ambiente Active Directory para manipular dados de infraestrutura de identidade de forma quase imperceptível. A implementação mais conhecida desta técnica é o ataque **DCShadow**, introduzido pelos pesquisadores Benjamin Delpy e Vincent Le Toux em 2018, e disponível como módulo do [[mimikatz|Mimikatz]].
O DCShadow explora o protocolo legítimo de replicação do Active Directory (MS-DRSR - Directory Replication Service Remote Protocol) para injetar modificações em objetos do AD sem gerar os eventos de auditoria que uma modificação direta via ferramentas administrativas normais produziria. Isso torna a técnica particularmente eficaz para estabelecer backdoors furtivos, modificar atributos de contas e injetar dados maliciosos na base de dados do diretório distribuído.
A técnica é classificada tanto como Defense Evasion quanto pode ser utilizada para Persistência, uma vez que modificações inseridas via replicação DCShadow permanecem no diretório mesmo após a remoção das ferramentas utilizadas pelo adversário - e podem sobreviver a processos de resposta a incidentes que não incluam uma auditoria profunda de objetos AD.
## Como Funciona
O ataque DCShadow opera em duas fases distintas que precisam ser executadas simultaneamente a partir de processos separados na máquina comprometida:
**Fase 1 - Registro do DC Falso:** O processo principal utiliza objetos de servidor e nTDSDSA na partição de Configuração do AD Schema para registrar a máquina comprometida como um Controlador de Domínio legítimo. Isso requer privilégios de Administrador de Domínio ou o hash KRBTGT. O registro inclui a criação de SPNs (Service Principal Names) necessários para que outros DCs aceitem conexões de replicação da máquina atacante.
**Fase 2 - Push via Replicação:** Um segundo processo aciona uma operação de replicação forçada a partir de um DC legítimo, solicitando que ele sincronize dados com o DC falso. Nesse momento, o DC falso entrega as modificações maliciosas - alterações em atributos de objetos AD, injeção de histórico de SID, modificação de ACLs, ou adição de credenciais backdoor - que são aceitas pelo DC legítimo como replicação normal de diretório.
As modificações possíveis incluem: alteração do atributo `userAccountControl` para desabilitar controles de segurança, injeção de SID History para [[t1134-005-sid-history-injection|escalonamento de privilégios via SID History]], modificação de ACLs de objetos críticos, adição de membros a grupos privilegiados, e alteração de atributos de `adminSDHolder` para persistência em contas protegidas.
Como a modificação ocorre via canal de replicação legítimo, sistemas SIEM que monitoram apenas eventos de auditoria de modificação direta (Event IDs 4720, 4738, 4728) frequentemente não detectam as mudanças. Os registros de replicação existem, mas requerem monitoramento específico do protocolo MS-DRSR e análise de logs do serviço de replicação de diretório.
## Attack Flow
```mermaid
graph TB
A[Comprometimento com privilégios de Domain Admin ou hash KRBTGT] --> B[Registro de servidor falso na partição de Configuração do AD]
B --> C[Criação de SPNs para simular DC legítimo]
C --> D[Ativação do servidor falso como nTDSDSA no schema]
D --> E[Disparo de replicação forçada a partir de DC legítimo]
E --> F[Injeção de modificações maliciosas via canal MS-DRSR]
F --> G{Objetivo}
G --> H[Injeção de SID History para escalonamento de privilégios]
G --> I[Modificação de ACLs e grupos privilegiados]
G --> J[Adição de credenciais backdoor em objetos AD]
G --> K[Alteração de adminSDHolder para persistência]
H --> L[Persistência furtiva e evasão de auditoria convencional]
I --> L
J --> L
K --> L
```
## Exemplos de Uso
**APT29 (Cozy Bear):** O grupo russo associado ao SVR utilizou técnicas de manipulação do Active Directory em operações de espionagem de longo prazo contra governos ocidentais. Em investigações do SolarWinds, foram identificados padrões de uso de ferramentas de manipulação de diretório semelhantes ao DCShadow para garantir persistência silenciosa em ambientes comprometidos por meses sem detecção.
**FIN6:** Ator financeiramente motivado com histórico de ataques ao setor de varejo e hospitalidade. O grupo foi documentado utilizando ferramentas de manipulação de AD, incluindo capacidades semelhantes ao DCShadow, para elevar privilégios e mover-se lateralmente em redes de grande porte antes de exfiltrar dados de cartão de crédito ou implantar ransomware.
**Grupos de ransomware (Ryuk/Conti lineage):** Operadores de ransomware com alvos em infraestrutura crítica utilizaram técnicas de manipulação de replicação AD para garantir que contas de backdoor criadas durante a fase de reconhecimento sobrevivessem a tentativas de remediação, forçando novas rodadas de pagamento de resgate.
**Atividade em LATAM:** Investigações de resposta a incidentes em grandes instituições financeiras brasileiras e mexicanas documentaram o uso de ferramentas baseadas em [[mimikatz|Mimikatz]] - incluindo o módulo DCShadow - por grupos de cibercrime organizados que visam sistemas bancários e processadores de pagamento na região.
## Detecção
```yaml
title: Detecção - Registro de Domain Controller Não Autorizado via DCShadow
status: experimental
logsource:
category: directory_service
product: windows
service: microsoft-windows-activedirectory-domaincontroller
detection:
selection_new_server:
EventID: 4928
AttributeLDAPDisplayName: 'nTDSDSA'
filter_known_dcs:
SubjectUserName|endswith: '