# T1069.002 - Domain Groups ## Técnica Pai Esta é uma sub-técnica de [[t1069-permission-groups-discovery|T1069 - T1069 - Permission Groups Discovery]]. ## Descrição A enumeração de grupos de domínio é uma das primeiras atividades de reconhecimento interno executadas por adversários após obter acesso a um ambiente Windows corporativo. Ao mapear os grupos existentes no Active Directory e identificar quais usuários pertencem a cada um, o atacante constrói um inventário de privilégios: quem são os *Domain Admins*, *Enterprise Admins*, membros de grupos de helpdesk com permissão de reset de senha e outros alvos de alto valor. Esse mapeamento é pré-requisito para decidir quais contas priorizar em ataques de movimentação lateral e escalada de privilégios. A técnica pode ser executada com ferramentas nativas do Windows - como `net group /domain` - sem levantar alertas em ambientes sem monitoramento adequado. Em sistemas Linux ou macOS integrados ao domínio via *realm join*, o comando `ldapsearch` permite consultas LDAP diretamente contra o DC. Ferramentas especializadas como [[s0521-bloodhound|BloodHound]] e [[s0552-adfind|AdFind]] automatizam o processo e produzem grafos visuais das relações de confiança e aninhamento de grupos, tornando trivial a identificação de caminhos de escalada que seriam invisíveis em consultas manuais. Por ser uma atividade de leitura - sem modificar objetos no AD - a detecção é mais difícil que técnicas que alteram o ambiente. A técnica é quase sempre observada em conjunto com outras atividades de discovery, como [[t1087-002-domain-account|Account Discovery]] e [[t1018-remote-system-discovery|Remote System Discovery]], formando um perfil de reconhecimento sistemático antes da fase de exploração. **Contexto Brasil/LATAM:** Grupos como [[g1004-lapsus|LAPSUS$]] e [[g0046-fin7|FIN7]] documentadamente usaram enumeração de grupos de domínio em intrusões contra empresas brasileiras dos setores de varejo, telecomúnicações e financeiro. Ambientes Active Directory de organizações brasileiras frequentemente acumulam grupos legados com membros desatualizados e permissões excessivas - uma condição que amplifica o valor dessa técnica para o atacante, pois a superfície de escalada é maior do que o esperado pelos defensores. **Event IDs relevantes:** | Event ID | Canal | Descrição | |----------|-------|-----------| | `4798` | Security | Enumeração de grupos locais de um usuário - sinal de reconhecimento | | `4799` | Security | Enumeração de membros de grupo de segurança local | | `4661` | Security | Handle aberto a objeto SAM - precede consultas a grupos via SAM | | `1644` | Directory Service | Operação LDAP custosa - indica queries em massa (requer habilitação manual) | **Regra Sigma:** ```yaml title: Domain Group Enumeration via Net Command id: 2b6e5c9a-7f14-4e3b-9c8d-1a2b3c4d5e6f status: stable description: Detecta uso de net.exe ou net1.exe para enumerar grupos de domínio references: - https://attack.mitre.org/techniques/T1069/002/ logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\net.exe' - '\net1.exe' CommandLine|contains|all: - 'group' - '/domain' condition: selection falsepositives: - Scripts legítimos de administração de TI - válidar com equipe de sistemas - Ferramentas de gestão de identidade (IAM) com service accounts conhecidas level: medium tags: - attack.discovery - attack.t1069.002 ``` ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Execução de Código] B --> C{T1069.002 - Domain Groups}:::highlight C --> D[Mapa de Privilégios AD] D --> E[Escalada / Movimento Lateral] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação Com acesso a qualquer conta de domínio - mesmo sem privilégios elevados - o adversário identifica ferramentas disponíveis no sistema comprometido. Qualquer membro autenticado do domínio pode consultar grupos via LDAP por padrão, pois o AD não restringe leituras de diretório para usuários comuns na configuração padrão do Windows Server. ### 2. Execução O adversário executa consultas para enumerar grupos e membros. Comandos nativos incluem `net group /domain` (lista grupos) e `net group "Domain Admins" /domain` (lista membros de um grupo específico). Ferramentas avançadas como [[s0521-bloodhound|BloodHound]] executam consultas LDAP em massa, coletam relações de ACL e geram grafos de ataque em segundos. O [[s0552-adfind|AdFind]] permite filtrar objetos AD com precisão via sintaxe LDAP. Frameworks C2 como [[s0154-cobalt-strike|Cobalt Strike]] expõem comandos integrados (`net group`) que encapsulam essas queries. ### 3. Pós-execução O mapa de grupos alimenta a fase de seleção de alvos: contas em *Domain Admins* são priorizadas para técnicas de credential access como [[t1003-006-dcsync|DCSync]]; contas em grupos de helpdesk são visadas para [[t1098-account-manipulation|Account Manipulation]]; memberships em grupos de servidores específicos guiam a movimentação lateral. Ferramentas como [[s0521-bloodhound|BloodHound]] calculam automaticamente os caminhos mais curtos de escalada. ## Detecção > [!warning] Desafio de Detecção > Consultas LDAP de leitura são legítimas no dia a dia de um domínio. A detecção eficaz requer baselining de comportamento: volume anormal de consultas por conta, horários atípicos e combinação com outros eventos de reconhecimento. ## Mitigação | Mitigação | Ação Prática para Organizações Brasileiras | |-----------|---------------------------------------------| | Princípio do Menor Privilégio | Revisar e limpar memberships de grupos AD; remover contas inativas; eliminar grupos legados sem uso ativo | | Monitoramento de LDAP | Habilitar auditoria de operações de diretório (Event ID 1644) e alertar para picos de consultas fora do horário comercial | | Segmentação de Contas | Separar contas de administração de domínio de contas de uso diário; implementar Tier Model do AD para limitar o alcance de um comprometimento | | Detecção de BloodHound | Alertar para volume anormal de consultas LDAP originando de estações de trabalho; BloodHound gera dezenas de queries em poucos segundos | | Hardening de ACLs do AD | Restringir quem pode consultar memberships de grupos sensíveis (*Domain Admins*, *Enterprise Admins*) via ACLs no nível do objeto no ADSI Edit | ## Threat Actors - [[g1004-lapsus|LAPSUS$]] - grupo de extorsão brasileiro que usou enumeração de grupos para identificar alvos de alto privilégio em ambientes Microsoft 365 e Azure AD antes de executar exfiltração. - [[g1022-toddycat|ToddyCat]] - APT de espionagem que usa enumeração de AD como parte de reconhecimento sistemático em redes governamentais e de defesa. - [[g1017-volt-typhoon|Volt Typhoon]] - grupo chinês de infraestrutura crítica que executa discovery discreto via ferramentas nativas (*living off the land*), incluindo enumeração de grupos via LDAP nativo. - [[g0049-oilrig|OilRig]] - APT iraniano que combina enumeração de grupos com técnicas de credential access para mapear e comprometer ambientes corporativos de forma metódica. - [[g0129-mustang-panda|Mustang Panda]] - grupo chinês que usa scripts customizados para enumerar grupos AD antes de extrair credenciais de contas privilegiadas identificadas. - [[g0046-fin7|FIN7]] - grupo de crime financeiro que usa BloodHound para mapear caminhos de escalada em redes de varejo e hospitalidade, incluindo alvos brasileiros. - [[g1032-inc-ransom|INC Ransom]] - operador de ransomware que enumera grupos de domínio para identificar administradores locais antes de se mover lateralmente. - [[g0004-apt15|Ke3chang]] - APT com foco em organizações diplomáticas e governamentais; usa enumeração de AD para identificar contas de alto valor antes da exfiltração. - [[g0010-turla|Turla]] - APT russo de longa data que combina enumeração de grupos com técnicas de persistência sofisticadas em ambientes governamentais. - [[g0100-inception-framework|Inception]] - grupo de espionagem que usa enumeração de AD como parte de cadeia de ataque focada em roubos de documentos sensíveis. ## Software Associado - [[s0236-kwampirs|Kwampirs]] - malware de espionagem que inclui módulo de enumeração de domínio para mapear o ambiente antes da exfiltração de dados. - [[s0039-net|Net]] - utilitário nativo do Windows frequentemente abusado; `net group /domain` é o comando mais comum para esta técnica. - [[s0521-bloodhound|BloodHound]] - ferramenta de análise de relações AD que automatiza a descoberta de caminhos de escalada; amplamente usada tanto em Red Team quanto por atacantes reais. - [[s0692-silenttrinity|SILENTTRINITY]] - framework C2 com capacidade de enumeração de AD via módulos .NET integrados. - [[s1138-gootloader|Gootloader]] - loader de malware que executa enumeração de domínio como parte do processo de reconhecimento pós-infecção. - [[s0417-griffon|GRIFFON]] - implante de reconhecimento do FIN7 com capacidade de enumeração de grupos de AD. - [[s0552-adfind|AdFind]] - ferramenta de linha de comando para consultas LDAP avançadas; muito usada por operadores de ransomware para enumeração detalhada de AD. - [[s0154-cobalt-strike|Cobalt Strike]] - framework C2 com comandos integrados de enumeração de AD, incluindo `net group` e integração com BloodHound. - [[s0184-powruner|POWRUNER]] - ferramenta PowerShell do OilRig com módulos de discovery de domínio. - [[blackcat|BlackCat]] - ransomware que executa enumeração de grupos de domínio como parte da fase de reconhecimento antes da criptografia em massa. --- *Fonte: [MITRE ATT&CK - T1069.002](https://attack.mitre.org/techniques/T1069/002)*