t1087-002-domain-account

# T1087.002 - Domain Account ## Técnica Pai Esta é uma sub-técnica de [[t1087-account-discovery|T1087 - T1087 - Account Discovery]]. ## Descrição A enumeração de contas de domínio é uma das primeiras atividades realizadas por adversários após obter acesso inicial a uma rede corporativa. Por meio de comandos nativos do sistema operacional ou ferramentas especializadas como o [[s0488-crackmapexec|CrackMapExec]] e o [[s0105-dsquery|dsquery]], os atacantes conseguem mapear todos os usuários e grupos existentes no Active Directory, identificando alvos de alto valor como administradores de domínio, contas de serviço e usuários privilegiados. Essa técnica é classificada como subtécnica de [[t1087-*|T1087]] (Account Discovery) e se distingue por focar específicamente em contas vinculadas ao domínio corporativo. Ferramentas como `net user /domain`, `net group /domain`, cmdlets [[t1059-001-powershell|PowerShell]] (`Get-ADUser`, `Get-ADGroupMember`) e consultas LDAP via `ldapsearch` são amplamente utilizadas. O malware [[s0534-bazar|Bazar]], por exemplo, automatiza esse processo logo após a infecção, alimentando etapas subsequentes de movimento lateral e escalonamento de privilégios com dados sobre a topologia do domínio. **Contexto Brasil/LATAM:** No Brasil e na América Latina, essa técnica tem sido extensivamente empregada em ataques contra o setor financeiro e governo. O grupo [[g1004-lapsus|LAPSUS$]], com histórico de alvos brasileiros e latinoamericanos, utilizou enumeração de Active Directory como passo central em diversas intrusões de alto perfil. O [[g1016-fin13|FIN13]], grupo com foco quase exclusivo no México, também faz uso intensivo dessa técnica para identificar contas com acesso a sistemas de transferência financeira (SPEI, TEF). Organizações brasileiras que operam ambientes Active Directory mal segmentados são particularmente vulneráveis, pois qualquer conta de usuário autenticada no domínio possui, por padrão, permissão para consultar a maioria dos atributos do diretório. ## Attack Flow ```mermaid graph TB A[Acesso Inicial T1566 Phishing] --> B[Execução T1059 PowerShell/CMD] B --> C[T1087.002 Domain Account Enumeration]:::highlight C --> D[Privilege Escalation T1078 Valid Accounts] D --> E[Movimento Lateral T1021 Remote Services] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação** O adversário já possui credenciais válidas de um usuário comum do domínio - obtidas via [[t1566-phishing|phishing]], força bruta ou dump de credenciais. Qualquer conta autenticada no Active Directory pode, por padrão, consultar objetos do diretório via LDAP, tornando essa fase de baixo risco e alta recompensa para o atacante. **Execução** Com acesso a um host ingressado no domínio, o atacante executa ferramentas de enumeração. Os métodos mais comuns incluem: `net user /domain` e `net group "Domain Admins" /domain` via [[s0039-net|Net]]; consultas PowerShell com `Get-ADUser -Filter * -Properties *` e `Get-ADGroupMember -Identity "Domain Admins"`; e ferramentas como [[s0488-crackmapexec|CrackMapExec]] (`crackmapexec smb <target> --users`) para enumeração em rede. O [[s0105-dsquery|dsquery]] permite queries LDAP diretas como `dsquery user -limit 0` para listar todos os usuários. **Pós-execução** O resultado é uma lista completa de contas, grupos, unidades organizacionais e atributos do AD. Com esse mapa, o atacante prioriza alvos de alto privilégio, identifica contas de serviço (frequentemente com senhas fracas), e alimenta ferramentas como [[blackcat|BlackCat]] e [[s0635-boombox|BoomBox]] com informações para movimentação lateral. O [[s0018-sykipot|Sykipot]] e o [[s1146-mgbot|MgBot]] integram essa enumeração em seus fluxos de reconhecimento automatizado. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4661 | Security | Acesso a objeto do AD (quando auditoria de objetos está habilitada) | | 4624 | Security | Logon bem-sucedido - correlacionar com enumeração subsequente | | 4798 | Security | Enumeração de membros de grupo local de um usuário | | 4799 | Security | Enumeração de membros de grupo local com segurança habilitada | | 7045 | System | Novo serviço instalado (pós-enumeração, instalação de agente) | **Sigma Rule - Enumeração de Contas de Domínio via Net/PowerShell:** ```yaml title: Domain Account Enumeration via Net or PowerShell id: a5f0b3e2-1c4d-4f8a-9b2e-3d6c7a8f0e1b status: stable description: Detecta enumeração de contas de domínio via utilitários nativos do Windows references: - [[t1087-002-domain-account]] author: RunkIntel Detection Engineering daté: 2026-03-24 tags: - attack.discovery - attack.t1087.002 logsource: category: process_creation product: windows detection: selection_net: CommandLine|contains: - 'net user /domain' - 'net group /domain' - 'net group "Domain Admins"' - 'net group "Enterprise Admins"' selection_powershell: CommandLine|contains: - 'Get-ADUser' - 'Get-ADGroupMember' - 'Get-ADObject' - 'Get-DomainUser' - 'Get-DomainGroup' selection_dsquery: Image|endswith: '\dsquery.exe' CommandLine|contains: 'user' condition: 1 of selection_* falsepositives: - Administradores de sistema realizando inventário legítimo - Scripts de helpdesk para consulta de contas level: medium ``` ## Mitigação | Controle | Mitigação | Recomendação Prática para Org Brasileira | |----------|-----------|------------------------------------------| | [[m1028-operating-system-configuration\|M1028]] | Configuração do SO | Habilitar auditoria de acesso a objetos do AD (GPO: `Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy`) | | Princípio do Mínimo Privilégio | Segmentação de AD | Remover permissões de leitura irrestrita do AD para usuários comuns onde possível; avaliar uso de Protected Users Security Group | | Monitoramento de Linha de Comando | SIEM/EDR | Alertar sobre uso de `net user /domain`, `Get-ADUser`, `dsquery` fora do horário administrativo ou a partir de estações de trabalho comuns | | Honeypot Accounts | Deception | Criar contas falsas de "Administrador de Domínio" no AD que disparem alertas imediatos ao serem consultadas ou usadas | | Segmentação de Rede | Zero Trust | Restringir conectividade LDAP (porta 389/636) de estações de trabalho diretamente para Domain Controllers - rotear via jump server auditado | ## Threat Actors que Usam - [[g1016-fin13|FIN13]] - grupo com foco no setor financeiro mexicano; usa enumeração de AD para identificar contas com acesso a sistemas SPEI e de transferência bancária - [[g0037-fin6|FIN6]] - especializado em roubo de dados de cartões de pagamento; mapeia AD em busca de sistemas de POS e servidores de pagamento - [[g0096-apt41|APT41]] - grupo de espionagem e crime financeiro chinês; combina enumeração de domínio com exploração de vulnerabilidades para movimentação lateral acelerada - [[g0004-apt15|Ke3chang]] - APT chinês com foco em governo e diplomacia; usa [[s0105-dsquery|dsquery]] e LDAP nativo para reconhecimento silencioso - [[g1015-scattered-spider|Scattered Spider]] - grupo especializado em engenharia social e invasão de ambientes cloud/AD híbridos; usa enumeração para identificar contas de serviço com MFA desabilitado - [[g0129-mustang-panda|Mustang Panda]] - APT chinês com campanhas documentadas na América Latina; emprega [[s1146-mgbot|MgBot]] para automação da fase de reconhecimento - [[g0030-raspberry-typhoon|Lotus Blossom]] - APT com foco em governo asiático; usa enumeração combinada com movimento lateral para persistência de longo prazo - [[g0069-mango-sandstorm|MuddyWater]] - grupo iraniano de espionagem; usa [[s0488-crackmapexec|CrackMapExec]] e ferramentas PowerShell em campanhas contra governo e telecomúnicações - [[g1032-inc-ransom|INC Ransom]] - ransomware moderno que faz enumeração completa do AD antes de iniciar o processo de criptografia para maximizar impacto - [[g1004-lapsus|LAPSUS$]] - grupo com histórico de ataques a empresas brasileiras e latinoamericanas; usou enumeração de AD em intrusões contra Claro, Localiza e outras organizações regionais ## Software Associado - [[s1159-dusttrap|DUSTTRAP]] - implante APT41 que executa enumeração de AD como parte do reconhecimento pós-comprometimento em ambientes corporativos - [[s0516-sorefang|SoreFang]] - ferramenta de coleta de informações que inclui módulo de enumeração LDAP para mapeamento de domínio - [[s0039-net|Net]] - utilitário nativo Windows; o comando `net user /domain` é o método mais simples e amplamente usado para enumeração - [[s0534-bazar|Bazar]] - backdoor modular do grupo TrickBot; inclui rotinas automáticas de enumeração de contas e grupos do Active Directory - [[s0488-crackmapexec|CrackMapExec]] - framework de pós-exploração open-source muito utilizado por grupos de ransomware para enumeração em massa de redes Windows - [[s1146-mgbot|MgBot]] - malware do Mustang Panda com módulos de reconhecimento que incluem coleta de informações do Active Directory - [[s0018-sykipot|Sykipot]] - trojan de espionagem que integra módulos de enumeração de domínio em sua rotina de coleta de inteligência - [[s0635-boombox|BoomBox]] - downloader do APT29 que realiza enumeração de AD como preparação para etapas subsequentes da cadeia de ataque - [[s0105-dsquery|dsquery]] - ferramenta legítima de administração Windows frequentemente abusada para queries LDAP diretas ao Active Directory - [[blackcat|BlackCat]] - ransomware-as-a-service (ALPHV) que utiliza enumeração de AD para identificar sistemas críticos e maximizar o impacto da criptografia --- *Fonte: [MITRE ATT&CK - T1087.002](https://attack.mitre.org/techniques/T1087/002)*