# T1484.001 - Group Policy Modification > [!info] Técnica MITRE ATT&CK > **ID:** T1484.001 | **Tática:** Defense Evasion, Privilege Escalation | **Plataforma:** Windows > **Técnica pai:** [[t1484-domain-or-tenant-policy-modification|T1484 - Domain or Tenant Policy Modification]] ## Descrição A técnica **Group Policy Modification** permite que adversários com acesso privilegiado a um domínio Active Directory modifiquem **Group Policy Objects (GPOs)** para propagar configurações maliciosas de forma centralizada e sistêmica por toda a infraestrutura. GPOs são o mecanismo nativo do Windows para administração centralizada de configurações de segurança, scripts de login, políticas de software e restrições de conta em ambientes de domínio. A relevância crítica desta técnica está em seu **alcance**: uma única modificação em um GPO aplicado ao nível do domínio ou de uma Organizational Unit (OU) estratégica pode afetar simultaneamente **centenas ou milhares de sistemas** em questão de minutos - o intervalo padrão de atualização de GPO é de 90 minutos para computadores (com variação aleatória de até 30 minutos), e 5 minutos para Controladores de Domínio. A estrutura de um GPO no domínio compreende dois componentes principais: - **GPC (Group Policy Container)**: objeto no Active Directory que armazena atributos e metadados do GPO - **GPT (Group Policy Templaté)**: conjunto de arquivos armazenados no caminho `\\<DOMÍNIO>\SYSVOL\<DOMÍNIO>\Policies\{GUID}\` nos Controladores de Domínio Por padrão, todos os usuários autenticados no domínio têm permissão de **leitura** sobre GPOs. A permissão de **escrita** é o que os adversários buscam comprometer. Uma vez obtida - via comprometimento de conta administrativa, delegação indevida ou escalada de privilégios - o atacante tem controle sobre toda a superfície que aquele GPO governa. Ações tipicamente realizadas via GPO malicioso: - Desabilitar Windows Defender, EDR e outros controles de segurança em todos os endpoints - Distribuir e executar ransomware simultaneamente em todos os hosts do domínio - Criar contas de backdoor com privilégios elevados - Implantar scripts de PowerShell na inicialização de sistemas - Modificar políticas de firewall para abrir portas específicas - Revogar direitos de usuários legítimos para impedir resposta a incidentes ## Como Funciona **Pré-requisitos de acesso** Para modificar GPOs, o adversário precisa de uma das seguintes condições: 1. Conta membro de **Domain Admins**, **Group Policy Creator Owners** ou **Enterprise Admins** 2. Permissões de escrita delegadas explicitamente no GPO alvo 3. Conta com o privilégio `SeEnableDelegationPrivilege` (que pode ser usada para se auto-elevar) **Vetores de comprometimento inicial para GPO abuse:** - Credential dumping via [[t1003-os-credential-dumping|LSASS dump]] → hash de conta administrativa - Pass-the-Hash / Pass-the-Ticket para autenticar como Domain Admin - Kerberoasting de conta de serviço com delegação irrestrita - Comprometimento de Controlador de Domínio diretamente **Mecanismo de modificação** O adversário pode modificar GPOs por múltiplos meios: 1. **GPMC (Group Policy Management Console)** - interface gráfica nativa, gera logs de auditoria 2. **PowerShell GPMC module** (`New-GPO`, `Set-GPRegistryValue`, `Import-GPO`) - mais difícil de rastrear 3. **Edição direta de arquivos no SYSVOL** - modifica arquivos XML/INF na pasta do GPO, potencialmente sem gerar eventos de auditoria no AD 4. **Ferramentas de ataque como Empire e SharpGPOAbuse** - automatizam a criação de Scheduled Tasks maliciosas via GPO **Técnica SharpGPOAbuse - Scheduled Task via GPO** Ferramentas como [[s0363-empire|Empire]] e SharpGPOAbuse exploram o fato de que GPOs podem distribuir **Scheduled Tasks** por edição direta do arquivo `<GPO_PATH>\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml`. A task é criada e distribuída a todos os computadores no escopo do GPO, executando no contexto de SYSTEM. **Backdoor via SeEnableDelegationPrivilege** Um adversário sofisticado pode modificar o arquivo `<GPO_PATH>\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf` para adicionar uma conta controlada por ele ao privilégio `SeEnableDelegationPrivilege`. Isso cria um backdoor silencioso: a conta passa a poder modificar delegações Kerberos e eventualmente se tornar Domain Admin novamente - mesmo após um reset de senha da conta comprometida original. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial ao Domínio<br/>(Phishing, Exploit, Supply Chain)"] --> B["🔑 Escalada de Privilégios<br/>(Credential Dump, Kerberoasting,<br/>Pass-the-Hash)"] B --> C["👑 Comprometimento de Conta<br/>Administrativa de Domínio<br/>(Domain Admin / GPO Creator)"] C --> D["🔍 Reconhecimento de GPOs<br/>(Get-GPO, GPMC, BloodHound)"] D --> E["✏️ Identificação de GPO Alvo<br/>(escopo mais amplo possível)"] E --> F["⚙️ Modificação do GPO<br/>(SharpGPOAbuse, Empire,<br/>Edição direta no SYSVOL)"] F --> G["📡 Propagação Automática<br/>(atualização GPO em 90min<br/>ou gpupdaté /force)"] G --> H["🛡️ Desabilitar Segurança<br/>(Defender, EDR, Firewall)"] G --> I["🚀 Executar Payload<br/>(Scheduled Task → Ransomware)"] G --> J["🔓 Criar Backdoor<br/>(conta admin oculta,<br/>SeEnableDelegationPrivilege)"] H --> K["💥 Impacto Total no Domínio<br/>(Ransomware + Persistência)"] I --> K J --> K style A fill:#c0392b,color:#fff style C fill:#e74c3c,color:#fff style F fill:#8e44ad,color:#fff style G fill:#d35400,color:#fff style K fill:#2c3e50,color:#fff ``` ## Exemplos de Uso ### Storm-0501 - Ransomware via GPO em Infraestrutura Crítica O grupo [[g1053-storm-0501|Storm-0501]], operador afiliado a múltiplas RaaS (Ransomware-as-a-Service), foi documentado pela Microsoft em 2024 utilizando GPO modification como passo central em ataques de ransomware contra setor de saúde e governo nos EUA. Após comprometer uma conta Domain Admin via Mimikatz em um servidor de gerenciamento, o grupo criou uma Scheduled Task via GPO que baixava e executava o payload de ransomware em todos os endpoints do domínio simultaneamente. O intervalo entre comprometimento da conta admin e execução do ransomware foi inferior a 4 horas. ### Cinnamon Tempest (DEV-0401) - Implantação do Ransomware Lockbit O grupo [[g1021-cinnamon-tempest|Cinnamon Tempest]], atribuído a atores de ameaça com nexo à China, foi observado utilizando GPOs para desabilitar Windows Defender e Windows Firewall em ambientes comprometidos antes de implantar [[s1202-lockbit-30|LockBit 3.0]]. A modificação do GPO ocorreu após movimento lateral extenso, com o grupo operando durante horas em horários de baixo monitoramento (madrugadas no fuso horário da vítima). ### APT41 - Backdoor Persistente via GPO O [[g0096-apt41|APT41]], grupo de espionagem e crime financeiro vinculado a atores estatais chineses, foi documentado modificando GPOs para implantar scripts de PowerShell na inicialização de sistemas críticos em redes governamentais. A técnica permitiu ao grupo manter acesso persistente mesmo após remoção de artefatos de malware - as configurações de GPO continuavam reimplantando os scripts a cada reinicialização. A detecção só ocorreu após auditoria manual do SYSVOL por responders. ### Indrik Spider - WastedLocker e Evil Corp O grupo [[g0119-indrik-spider|Indrik Spider]], operadores do Evil Corp e do ransomware [[s0612-wastedlocker|WastedLocker]], utilizou GPO modification em ataques contra empresas de mídia e logística nos EUA e Europa. O grupo explorou credenciais de administradores de domínio obtidas via Dridex para distribuir WastedLocker a toda a frota de servidores via GPO, criptografando dados críticos de forma simultânea e tornando a recuperação incremental inviável. ### HermeticWiper - Ataques Destrutivos contra Ucrânia (2022) O [[s0697-hermeticwiper|HermeticWiper]], wiper destrutivo utilizado em ataques contra infraestrutura ucraniana às vésperas da invasão russa em fevereiro de 2022, foi distribuído via GPO em algumas organizações alvo. A escolha de GPO como mecanismo de distribuição garantiu cobertura máxima dos endpoints em tempo mínimo - objetivo crítico para um ataque destrutivo com jánela de tempo limitada antes da resposta defensiva. ## Detecção ### Regra Sigma - Modificação de GPO via PowerShell ```yaml title: Group Policy Object Modification via PowerShell id: c1d2e3f4-5678-90ab-cdef-012345678901 status: stable description: | Detecta o uso de cmdlets PowerShell do módulo GroupPolicy para modificar GPOs existentes, o que pode indicar abuso por adversários com acesso privilegiado. author: RunkIntel daté: 2026-03-25 references: - https://attack.mitre.org/techniques/T1484/001/ - https://github.com/FSecureLABS/SharpGPOAbuse logsource: category: ps_script product: windows detection: selection_gpo_cmdlets: ScriptBlockText|contains: - 'New-GPOImmediateTask' - 'Set-GPRegistryValue' - 'Import-GPO' - 'New-GPLink' - 'SharpGPOAbuse' - 'ScheduledTasks.xml' - 'GptTmpl.inf' condition: selection_gpo_cmdlets falsepositives: - Administradores legítimos realizando mudanças planejadas via automação - Scripts de provisionamento de ambiente (documentar no SIEM como whitelist) level: high tags: - attack.defense_evasion - attack.privilege_escalation - attack.t1484.001 ``` ### Regra Sigma - Escrita Direta em Arquivos do SYSVOL ```yaml title: Suspicious Write to GPO Files in SYSVOL id: d2e3f4a5-6789-01bc-def0-123456789012 status: experimental description: | Detecta escrita em arquivos críticos de GPO no SYSVOL (ScheduledTasks.xml, GptTmpl.inf) por processos fora do conjunto de ferramentas legítimas de administração. author: RunkIntel daté: 2026-03-25 logsource: category: file_event product: windows detection: selection_sysvol_write: TargetFilename|contains: - '\SYSVOL\' - '\Policies\' TargetFilename|endswith: - 'ScheduledTasks.xml' - 'GptTmpl.inf' - 'Registry.pol' filter_legit_tools: Image|endswith: - '\gpupdaté.exe' - '\gpedit.msc' - '\mmc.exe' - '\DFSR\DfsrAdmin.exe' condition: selection_sysvol_write and not filter_legit_tools falsepositives: - Ferramentas de gestão de GPO de terceiros (AGPM, etc.) level: high tags: - attack.defense_evasion - attack.t1484.001 ``` ### Indicadores de Comportamento | Indicador | Fonte de Log | Event ID | Prioridade | |-----------|-------------|---------|-----------| | Modificação de objeto GPO no AD | Windows Security | 5136 (Directory Service Changes) | Crítica | | Criação de novo GPLink | Windows Security | 5136 | Alta | | Escrita em `ScheduledTasks.xml` no SYSVOL | Sysmon / FIM | Event ID 11 | Crítica | | Execução de `gpupdaté /force` em múltiplos hosts | Sysmon | Event ID 1 | Alta | | Acesso ao SYSVOL por conta não-administrativa | Sysmon | Event ID 3 | Média | | Uso de SharpGPOAbuse ou Empire GPO modules | EDR | Behavioral | Crítica | | Modificação de `GptTmpl.inf` (User Rights Assignment) | FIM | - | Crítica | > [!warning] Auditoria de AD é Essencial > A detecção de GPO modification depende de **auditoria habilitada** no AD. Verificar se a política `Audit Directory Service Changes` está ativa e gerando Event ID 5136 no Security log dos Controladores de Domínio. Sem isso, modificações de GPO são silenciosas nos logs. ## Mitigação | ID | Mitigação | Descrição | Prioridade | |----|-----------|-----------|-----------| | [[m1047-audit\|M1047]] | Auditoria | Habilitar `Audit Directory Service Changes` nos DCs; monitorar Event ID 5136 para modificações em objetos GPO; implementar FIM (File Integrity Monitoring) no SYSVOL | Crítica | | [[m1018-user-account-management\|M1018]] | Gerenciamento de Contas | Restringir membros do grupo `Group Policy Creator Owners` ao mínimo necessário; revisar delegações de escrita em GPOs trimestralmente; implementar JIT (Just-In-Time) access para contas de Domain Admin | Alta | | Separação de Privilégios | Segmentação Administrativa | Implementar Privileged Access Workstations (PAW) para acesso a sistemas de gerenciamento de AD; proibir acesso a e-mail e Internet de contas administrativas de domínio | Alta | | MFA para Contas Privilegiadas | Autenticação | Exigir MFA resistente a phishing (FIDO2/Passkey) para todas as contas com permissão de escrita em GPOs | Alta | | Tier Model / AD Tiering | Segmentação | Implementar modelo de camadas do AD (Tier 0: DCs, Tier 1: Servidores, Tier 2: Workstations) para isolar credenciais administrativas | Média | | LAPS | Senhas Locais | Implantar Microsoft LAPS para randomizar senhas de conta local Administrator em todos os endpoints, impedindo movimento lateral via hash local | Alta | | BloodHound / Purple Knight | Revisão de Permissões | Executar análise periódica de caminhos de ataque no AD para identificar delegações excessivas em GPOs antes que adversários as explorem | Média | ## Contexto Brasil/LATAM A técnica de modificação de GPO é central na fase final de ataques de ransomware que afetaram organizações brasileiras e latino-americanas. Observações do contexto regional: **Ransomware como vetor dominante no Brasil** Grupos como [[s1202-lockbit-30|LockBit]], [[royal-ransomware|Royal]] e [[play-ransomware|Play]] que afetaram hospitais, universidades e órgãos governamentais brasileiros em 2023-2025 utilizaram GPO modification como etapa de pré-implantação. O padrão é consistente: após comprometimento inicial (geralmente via [[t1566-001-spearphishing-attachment|phishing]] ou exploração de VPN), o grupo realiza movimento lateral por dias ou semanas até obter Domain Admin, então usa GPO para distribuir o ransomware simultaneamente a toda a frota. **Caso representativo - Setor de Saúde (2024)** Um hospital de grande porte na região Sudeste do Brasil sofreu ataque de ransomware onde investigação forense identificou que o adversário permaneceu na rede por 18 dias antes de acionar o payload. A distribuição do ransomware ocorreu via GPO Scheduled Task às 02:30 da madrugada de uma sexta-feira, afetando simultaneamente 340 workstations e 67 servidores. O grupo criou previamente um GPO que desabilitou o Windows Defender e o serviço de backup em toda a organização. **Infraestrutura pública com AD legado** Órgãos da administração pública brasileira frequentemente operam com infraestruturas de AD sem auditoria habilitada, sem FIM no SYSVOL e com contas de serviço com privilégios de Domain Admin - criando ambiente ideal para exploração desta técnica. **CERT.br e alertas de GPO abuse** O [[sources|CERT.br]] públicou alertas em 2023 e 2024 sobre campanhas direcionadas a órgãos governamentais que utilizavam GPO modification, recomendando a revisão de permissões de escrita em GPOs e a habilitação de auditoria de DS Changes nos Controladores de Domínio. > [!tip] Recomendação para Equipes de Defesa no Brasil > Realizar auditoria imediata de quais contas têm permissão de escrita em GPOs usando o script PowerShell `Get-GPPermissions` ou ferramentas como PingCastle e BloodHound. Em organizações públicas, é comum encontrar dezenas de contas com permissão de escrita herdadas de administrações anteriores - cada uma representa um vetor de GPO abuse. ## Referências - [MITRE ATT&CK - T1484.001](https://attack.mitre.org/techniques/T1484/001/) - [Microsoft - Group Policy Overview](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/gpupdaté) - [SharpGPOAbuse - FSecure Labs](https://github.com/FSecureLABS/SharpGPOAbuse) - [Microsoft Security - Storm-0501 analysis](https://www.microsoft.com/en-us/security/blog/) - [CISA - Alert on ransomware using GPO](https://www.cisa.gov/news-events/alerts) - [[g1053-storm-0501|Storm-0501]] - operador de ransomware que usa GPO amplamente - [[g0096-apt41|APT41]] - espionagem com backdoor via GPO - [[g0119-indrik-spider|Indrik Spider]] - Evil Corp e WastedLocker - [[s1202-lockbit-30|LockBit 3.0]] - ransomware distribuído via GPO - [[s0697-hermeticwiper|HermeticWiper]] - wiper distribuído via GPO em ataques destrutivos - [[s0363-empire|Empire]] - framework com módulo de GPO abuse - [[Job]] - técnica frequentemente criada via GPO - [[t1562-001-disable-tools|T1562.001 - Disable or Modify Tools]] - uso de GPO para desabilitar defesas - [[m1047-audit|M1047 - Audit]] - [[m1018-user-account-management|M1018 - User Account Management]] --- *Fonte: [MITRE ATT&CK - T1484.001](https://attack.mitre.org/techniques/T1484/001)*