t1484-domain-or-tenant-policy-modification

# T1484 - Domain or Tenant Policy Modification ## Descrição Adversários podem modificar as configurações de política de um domínio ou tenant de identidade para evadir defesas e/ou escalar privilégios em ambientes gerenciados de forma centralizada. Serviços como Microsoft Active Directory (AD) e provedores de identidade em nuvem (Azure AD / Entra ID, Okta, Google Workspace) fornecem meios centralizados de gerenciar recursos de identidade - dispositivos, contas, grupos, federações - e frequentemente incluem configurações que se aplicam entre domínios ou tenants, como relações de confiança, sincronização de identidade e federação. Com permissões suficientes, um adversário pode alterar Group Policy Objects (GPOs), modificar relações de confiança entre domínios ou adicionar provedores de identidade federados maliciosos ao tenant da vítima. O impacto pode ser massivo: uma única alteração de GPO pode ser distribuída a milhares de máquinas no domínio. Adversários frequentemente realizam modificações temporárias - executam a ação maliciosa e reverteram as mudanças para eliminar indicadores suspeitos, dificultando a detecção forense posterior. ## Sub-técnicas - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - [[t1484-002-trust-modification|T1484.002 - Trust Modification]] ## Como Funciona A técnica exige que o adversário já possua privilégios elevados no domínio ou tenant - tipicamente `Domain Admin`, `Enterprise Admin` no AD, ou papéis de `Global Administrator` / `Privileged Role Administrator` em ambientes de nuvem. **Vetores de abuso mais comuns:** 1. **Modificação de GPO maliciosa:** O adversário cria ou altera um GPO para distribuir uma [[t1053-005-scheduled-task|Tarefa Agendada]] maliciosa, script de logon, ou configuração de registro a todas as máquinas vinculadas ao domínio. 2. **Adição de domínio confiável:** Modificar as relações de confiança do AD para incluir um domínio controlado pelo adversário, permitindo que tokens forjados sejam aceitos pelos recursos da vítima. 3. **Rogue Domain Controller:** Alterar configurações do AD para promover um controlador de domínio desonesto ([[t1207-rogue-domain-controller|Rogue Domain Controller]]), possibilitando controle total sobre autenticação e replicação. 4. **Federação maliciosa em nuvem:** Adicionar um novo provedor de identidade federado (SAML/OIDC) ao tenant Azure AD ou Okta, permitindo que o adversário autentique como qualquer usuário gerenciado pelo tenant - sem conhecer senhas individuais. ## Attack Flow ```mermaid graph TB A["Acesso Privilegiado Obtido (Domain Admin / Global Admin)"] --> B["Reconhecimento de Políticas (Get-GPO, az ad trust list)"] B --> C{Alvo do abuso} C -->|AD on-premises| D["Modificação de GPO (T1484.001)"] C -->|Domínio/Floresta| E["Alteração de Trust (T1484.002)"] C -->|Nuvem / Entra ID| F["Adição de IdP Federado SAML malicioso"] D --> G["Distribuição a todas as máquinas do domínio"] E --> H["Tokens forjados aceitos pelos recursos da vítima"] F --> I["Autenticação como qualquer usuário do tenant"] G --> J["Execução de payload / Persistência em escala"] H --> J I --> J J --> K["Remoção dos indicadores (reversão da política)"] ``` ## Exemplos de Uso **SolarWinds - Operação Sunburst (APT29):** Após compromisso inicial via [[t1195-002-compromise-software-supply-chain|supply chain]], o grupo adicionou certificados SAML forjados ao Azure AD da vítima (técnica conhecida como "Golden SAML"), permitindo autenticação persistente sem credenciais - um uso clássico de T1484.002 em ambiente de nuvem. **FIN6 e grupos de ransomware:** Modificação de GPOs para desabilitar Windows Defender, desativar firewalls locais e distribuir payloads de ransomware simultaneamente a todas as máquinas do domínio - maximizando o impacto do ataque em minutos. **UNC2452 / Cozy Bear em ambientes híbridos:** Combinação de modificação de trust no AD on-premises com adição de IdP federado malicioso no Entra ID, criando persistência em ambos os planos de controle de identidade - mesmo após o tenant em nuvem ser remediado, o acesso via on-premises permanecia. **Grupos de ransomware brasileiros (associados ao ecossistema Lapsus$):** Uso de acesso privilegiado obtido via [[t1078-valid-accounts|contas válidas]] para modificar políticas de grupo e distribuir ferramentas de exfiltração a máquinas de departamentos financeiros. ## Detecção ```yaml title: Modificação Suspeita de Group Policy Object status: experimental logsource: category: directory_service_changes product: windows detection: selection_gpo_creaté: EventID: 5136 AttributeLDAPDisplayName: "gPCFileSysPath" selection_gpo_link: EventID: 5136 AttributeLDAPDisplayName: "gPLink" selection_new_gpo: EventID: 5137 ObjectClass: "groupPolicyContainer" condition: 1 of selection_* level: high tags: - attack.defense_evasion - attack.t1484.001 ``` ```yaml title: Adição de Identity Provider Federado no Entra ID status: experimental logsource: category: audit product: azure_ad detection: selection: OperationName: - "Add trusted realm" - "Set domain authentication" - "Set federation settings on domain" ResultType: "0" condition: selection level: critical tags: - attack.defense_evasion - attack.t1484.002 ``` **Estrategia de detecção complementar:** - Monitorar eventos Windows Security: **5136** (modificação de objeto AD), **5137** (criação), **5141** (exclusão) - Alertar em criação/modificação de GPOs fora de jánelas de manutenção aprovadas - Auditar adições de domínios confiáveis via `Get-ADTrust` e comparar com baseline - Em Entra ID / Azure AD: monitorar logs de auditoria para operações `Add trusted realm` e `Set domain authentication` - Correlacionar modificações de política com contas de serviço - modificações feitas por contas não-humanas são sinal de alerta ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente GPOs existentes, relações de confiança e provedores de identidade federados; comparar com baseline aprovado e alertar em divergências | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir o número de contas com privilégios Domain Admin / Global Admin; usar contas dedicadas apenas para tarefas administrativas; implementar PAM (Privileged Access Management) | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Implementar acesso just-in-time para papéis privilegiados; revisar e revogar acessos não utilizados regularmente; exigir aprovação humana para promoção a papéis críticos | **Controles adicionais recomendados:** - Habilitar **Protected Users Security Group** no AD para contas privilegiadas - Implementar **Conditional Access** no Entra ID com exigência de MFA para modificações de política - Usar **Privileged Identity Management (PIM)** no Azure para ativação just-in-time de papéis críticos - Configurar alertas no SIEM para qualquer modificação de GPO em OUs sensíveis (Domain Controllers, Servers) - Implementar **AD Tiering Model** para isolar contas de Tier 0 (DC, PKI, AD) de contas de uso geral ## Contexto Brasil/LATAM A modificação de políticas de domínio e tenant é uma técnica de alto impacto particularmente relevante no contexto brasileiro e latino-americano por algumas razões: **Alta dependência de Active Directory:** A grande maioria das empresas brasileiras de médio e grande porte opera ambientes Windows com Active Directory on-premises ou híbridos (sincronizados com Entra ID). Isso torna o AD um alvo de alto valor - um único comprometimento de Domain Admin pode dar acesso irrestrito a toda a organização. **Ransomware como vetor predominante:** Grupos como **LockBit**, **BlackCat/ALPHV** e operadores associados ao ecossistema **RaaS (Ransomware-as-a-Service)** frequentemente abusam de GPOs para distribuir payloads em escala após obterem acesso privilegiado - prática documentada em incidentes no setor financeiro e de saúde brasileiro. **Migração acelerada para nuvem sem maturidade de segurança:** Muitas organizações brasileiras migraram para Microsoft 365 / Entra ID sem implementar controles adequados de Privileged Identity Management, deixando papéis de Global Administrator com acesso permanente e sem MFA - aumentando o risco de abuso de T1484.002 via federação SAML maliciosa. **Setor público e autarquias:** Órgãos governamentais frequentemente utilizam infraestruturas AD legadas sem monitoramento adequado de eventos 5136/5137, criando pontos cegos para detecção desta técnica. ## Referências - MITRE ATT&CK: [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - MITRE ATT&CK: [[t1484-002-trust-modification|T1484.002 - Trust Modification]] - Técnicas relacionadas: [[t1207-rogue-domain-controller|T1207 - Rogue Domain Controller]], [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - Mitigações: [[m1047-audit|M1047 - Audit]], [[m1026-privileged-account-management|M1026 - Privileged Account Management]], [[m1018-user-account-management|M1018 - User Account Management]] - Contas exploradas: [[t1078-valid-accounts|T1078 - Valid Accounts]] --- *Fonte: MITRE ATT&CK - T1484*