t1069-permission-groups-discovery

# T1069 - Permission Groups Discovery ## Descrição A descoberta de grupos de permissões é uma etapa crítica do reconhecimento interno que adversários executam logo após obter um ponto de apoio numa rede. O objetivo é mapear quais grupos existem no ambiente, quais usuários pertencem a cada grupo e, sobretudo, quais grupos carregam permissões elevadas - como administradores de domínio, operadores de backup, administradores locais ou grupos com acesso a sistemas críticos. Esse mapeamento guia diretamente as decisões de movimento lateral ([[t1021-remote-services|Remote Services]]) e escalonamento de privilégios ([[t1078-valid-accounts|Valid Accounts]]). Identificar que uma conta já comprometida pertence ao grupo "Domain Admins" ou "Exchange Admins" elimina etapas adicionais do ataque. Da mesma forma, encontrar grupos com acesso a repositórios de segredos, servidores de backup ou infraestrutura de nuvem fornece ao adversário um mapa preciso de seus próximos alvos. A técnica se aplica a múltiplas superfícies: grupos locais de máquinas Windows e Linux, grupos de domínio Active Directory, grupos em plataformas SaaS como Microsoft 365 e Google Workspace, e roles/grupos em provedores de nuvem como AWS IAM, Azure Entra ID e GCP IAM. Cada superfície tem suas próprias ferramentas de enumeração, mas o objetivo é sempre o mesmo: entender quem tem acesso a quê. **Contexto Brasil/LATAM:** Grupos como [[g0096-apt41|APT41]], [[g1016-fin13|FIN13]] e [[g1015-scattered-spider|Scattered Spider]] utilizam essa técnica extensivamente em campanhas contra empresas brasileiras dos setores financeiro e de telecomúnicações. O FIN13, com histórico documentado de ataques contra o sistema financeiro mexicano e que também opera no Brasil, combina essa técnica com [[t1021-remote-services|Remote Services]] para mapear grupos de administradores de sistemas de pagamento antes de avançar lateralmente. Ambientes híbridos (AD + Azure/M365) são especialmente visados por oferecer maior superfície de grupos enumeráveis. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[**T1069 - Groups Discovery**] B --> C[T1078 - Valid Accounts] C --> D[Movimento Lateral] D --> E[Impacto / Exfiltração] ``` ## Como Funciona A enumeração de grupos segue um padrão progressivo: do local ao domínio, e do domínio à nuvem. 1. **Preparação:** Com uma sessão autenticada (mesmo com privilégios baixos), o adversário seleciona as ferramentas disponíveis no ambiente - priorizando utilitários nativos para evitar detecção por soluções de segurança que monitoram ferramentas de terceiros. 2. **Enumeração local e de domínio:** No Windows, `net localgroup` lista grupos locais e `net group /domain` lista grupos do AD. Via PowerShell, `Get-ADGroup -Filter *` e `Get-ADGroupMember` fornecem dados mais ricos. Ferramentas como [[s0266-trickbot|TrickBot]] e [[s0483-icedid|IcedID]] automatizam essa coleta como parte de seus módulos de reconhecimento pós-infecção. 3. **Enumeração em nuvem:** Para ambientes Azure e M365, [[s0677-aadinternals|AADInternals]] e [[s0684-roadtools|ROADTools]] oferecem enumeração profunda de grupos. Na AWS, `aws iam list-groups` e `aws iam list-group-policies` mapeiam grupos IAM e suas políticas. Essa sub-técnica está documentada em [[t1069-003-cloud-groups|T1069.003 - Cloud Groups]]. 4. **Correlação e priorização:** O adversário cruza os dados coletados para identificar contas de alto valor - usuários que pertencem simultaneamente a grupos privilegiados de AD e de nuvem são os alvos prioritários para comprometimento subsequente. **Exemplo:** ```bash # Artefato detectável: enumeração de grupos de domínio via net.exe # Gera Windows Event ID 4799 (local group membership enumeration) net group "Domain Admins" /domain # Via PowerShell (Event ID 4104 com ScriptBlock logging habilitado) Get-ADGroupMember -Identity "Domain Admins" -Recursive ``` ## Detecção **Fontes de dados:** Windows Event Log (IDs 4798, 4799), LDAP query logs (Event ID 1644 no AD), EDR process telemetry, AWS CloudTrail (`ListGroups`, `ListGroupPolicies`), Azure AD Audit Logs, Microsoft 365 Unified Audit Log. ```yaml title: Permission Groups Discovery via Native Tools id: b9e2d741-3c67-4f89-ae12-7b5d920f4321 status: experimental description: Detects enumeration of permission groups via net.exe, PowerShell AD cmdlets or WMI logsource: category: process_creation product: windows detection: selection_net: Image|endswith: '\net.exe' CommandLine|contains: - 'localgroup' - 'group /domain' selection_powershell: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Get-ADGroup' - 'Get-ADGroupMember' - 'Get-LocalGroup' condition: 1 of selection_* falsepositives: - Administrative activity - IT helpdesk scripts - Monitoring agents level: medium tags: - attack.discovery - attack.t1069 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Princípio do Menor Privilégio | Revisar trimestralmente a composição de grupos privilegiados no AD e em plataformas de nuvem, removendo membros desnecessários. Usar ferramentas como Microsoft Entra Access Reviews para automação. | | Monitoramento de LDAP | Habilitar LDAP Field Engineering logging no AD (Event ID 1644) para detectar consultas em volume atípico. Correlacionar com processo de origem para identificar enumeração automatizada. | ## Sub-técnicas - [[t1069-001-local-groups|T1069.001 - Local Groups]] - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - [[t1069-003-cloud-groups|T1069.003 - Cloud Groups]] ## Referências *Fonte: [MITRE ATT&CK - T1069](https://attack.mitre.org/techniques/T1069)*