# T1482 - Domain Trust Discovery ## Descrição Em ambientes Windows corporativos com múltiplos domínios ou florestas Active Directory, as relações de confiança (*trusts*) entre domínios definem quais usuários de um domínio podem acessar recursos em outro. Para um adversário que compromete um domínio filho ou uma subsidiária, o mapeamento dessas relações é o caminho para alcançar o domínio raiz da floresta ou outros segmentos da rede corporativa. No Brasil, essa técnica é especialmente relevante para conglomerados financeiros, grupos de varejo com múltiplas bandeiras e holdings industriais - estruturas organizacionais complexas que frequentemente refletem sua hierarquia corporativa em arquiteturas Active Directory com dezenas de relações de confiança acumuladas ao longo de anos de fusões e aquisições. Grupos de ransomware como [[g1024-akira|Akira]] e [[g1043-blackbyte|BlackByte]] exploram sistematicamente essa técnica para mover-se de um ambiente comprometido (tipicamente uma subsidiária com menor maturidade de segurança) para o domínio corporativo central, onde ficam os backups, os servidores financeiros e os dados mais valiosos. A descoberta de domain trusts habilita diretamente ataques subsequentes como [[t1134-005-sid-history-injection|SID-History Injection]], [[t1550-003-pass-the-ticket|Pass the Ticket]] e [[t1558-003-kerberoasting|Kerberoasting]] em domínios adjacentes - formando uma cadeia de escalada que pode comprometer toda a floresta Active Directory a partir de um único ponto de entrada. ### Regra Sigma ```yaml title: Domain Trust Discovery via Nltest or AD API id: d4e6f8a0-2b5c-4d9e-a1b3-45c7e0f2a3b6 status: experimental description: > Detecta enumeração de domain trusts via nltest, PowerShell ou AdFind, padrão associado à técnica T1482 e frequentemente precedendo movimentação lateral cross-domain por grupos de ransomware. author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection_nltest: CommandLine|contains: - "nltest /domain_trusts" - "nltest /trusted_domains" - "nltest /all_trusts" selection_adfind: CommandLine|contains: - "trustedDomain" - "objectclass=trustedDomain" selection_powershell: CommandLine|contains: - "GetAllTrustRelationships" - "GetTrustRelationship" - "DSEnumerateDomainTrusts" condition: 1 of selection_* falsepositives: - Ferramentas de gerenciamento de AD legítimas (RSAT, AD Administrative Center) - Scripts de inventário de infraestrutura documentados pelo time de identidade - Microsoft Entra Connect durante sincronização level: medium tags: - attack.discovery - attack.t1482 ``` ## Attack Flow ```mermaid graph TB A([Comprometimento Inicial<br/>Subsidiária / Domínio Filho]) --> B([Acesso a Credencial<br/>de Domínio]) B --> C{T1482<br/>Domain Trust<br/>Discovery}:::highlight C --> D([Mapeamento de Trusts<br/>Bidirecionais]) C --> E([Identificação de Domínio<br/>Raiz da Floresta]) C --> F([Descoberta de Trusts<br/>Transitivos]) D --> G(>kerberoasting) E --> H(>SID History injection) F --> I(>pass the ticket) G --> J([Comprometimento do<br/>Domínio Corporativo Central]) H --> J I --> J J --> K([Ransomware / Exfiltração]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **1. Enumeração via utilitários nativos do Windows** O adversário utiliza ferramentas nativas para mapear as relações de confiança do domínio comprometido. O utilitário `nltest` (disponível em qualquer instalação Windows) é o mais comum: ```cmd nltest /domain_trusts nltest /domain_trusts /all_trusts /v /dsgetdc:DOMÍNIO_ALVO ``` A chamada `DSEnumerateDomainTrusts()` da Win32 API pode ser invocada diretamente por ferramentas ofensivas, e métodos .NET como `System.DirectoryServices.ActiveDirectory.Domain.GetCurrentDomain().GetAllTrustRelationships()` são frequentemente usados por frameworks como [[s0363-empire|Empire]] para executar a mesma enumeração de forma programática. **2. Mapeamento com ferramentas especializadas** Ferramentas como [[s0552-adfind|AdFind]] permitem consultas LDAP avançadas ao Active Directory para extrair atributos de trust, incluindo o tipo (transitivo/intransitivo, unidirecional/bidirecional), os SIDs dos domínios envolvidos e as flags de segurança: ```cmd adfind -f "(objectclass=trustedDomain)" -dn ``` O [[s0521-bloodhound|BloodHound]] é a ferramenta mais completa para visualizar graficamente as relações de trust e identificar automaticamente caminhos de ataque que cruzam fronteiras de domínio. **3. Aproveitamento das relações descobertas** Com o mapa de trusts, o adversário identifica: - Domínios com relação de confiança bidirecional e transitiva - os mais críticos, pois qualquer comprometimento se propaga em ambas as direções - Domínios com SID Filtering desabilitado - vulneráveis a [[t1134-005-sid-history-injection|SID-History Injection]] - Service accounts que têm permissões em múltiplos domínios - alvos para [[t1558-003-kerberoasting|Kerberoasting]] cross-domain Malwares como [[s0650-qakbot|QakBot]], [[s0483-icedid|IcedID]] e [[pikabot|Pikabot]] executam essa enumeração automaticamente na fase de pós-comprometimento e enviam os resultados ao C2 antes de qualquer movimentação lateral, permitindo ao operador planejar o ataque ao domínio de maior valor. ## Detecção ### Event IDs Relevantes | Event ID | Log | Descrição | Indicador de Abuso | |---------|-----|-----------|-------------------| | 4661 | Security | Um identificador para um objeto foi solicitado - inclui consultas a `trustedDomain` | Múltiplas consultas a objetos `trustedDomain` em sequência | | 4768 | Security | Solicitação de Kerberos TGT - indica tentativa de autenticação cross-domain | TGTs solicitados para domínios fora do padrão do usuário | | 7045 / 4697 | System / Security | Serviço instalado - `nltest` como serviço é raro e suspeito | Raramente legítimo | | 4103 / 4104 | PowerShell Operational | Execução de script PowerShell - `.GetAllTrustRelationships()` | Chamadas de API de trust em scripts não documentados | > **Nota:** O Event ID 4661 requer que o SACL (System Access Control List) do objeto `trustedDomain` no AD estejá configurado para auditoria. Por padrão não está ativo - é necessária configuração explícita de Group Policy. ## Mitigação | Controle | Descrição | Prioridade para Orgs BR | |---------|-----------|------------------------| | [[m1047-audit\|M1047 - Auditoria de Trusts]] | Inventariar e documentar todas as relações de confiança do AD; remover trusts desnecessários ou legados de fusões/aquisições; habilitar SID Filtering em todos os trusts que não exijam o contrário | Alta - holdings e grupos corporativos brasileiros acumulam trusts obsoletos por anos | | [[m1030-network-segmentation\|M1030 - Segmentação de Rede]] | Restringir o tráfego Kerberos (porta 88), LDAP (389/636) e RPC entre domínios de diferentes segmentos de negócio; requer trust de rede explícito para autenticação cross-domain | Alta - segmentar domínios de subsidiárias limita o raio de explosão de um comprometimento | | Habilitar SID Filtering | Ativar `SID Filtering` (também chamado *Quarantine*) em todos os trusts externos para bloquear [[t1134-005-sid-history-injection\|SID-History Injection]] cross-domain | Alta - mitigação direta do vetor de escalada mais crítico | | Monitorar uso de `nltest` e `AdFind` | Criar alertas para execução de `nltest /domain_trusts` fora de contextos de administração documentados; logar e alertar uso de `adfind.exe` em estações de usuário final | Média - fácil de implementar em EDR (CrowdStrike, Defender for Endpoint) | | Tiering de Administração | Implementar modelo de administração em camadas (Tier 0: controladores de domínio, Tier 1: servidores, Tier 2: estações); contas Tier 0 não devem ser usadas em domínios menos seguros | Alta - requisito de conformidade para setor financeiro brasileiro (BACEN Resolução 4.893) | ## Threat Actors e Software ### [[g1024-akira|Akira]] Grupo de ransomware ativo desde 2023 com histórico documentado de ataques no Brasil, especialmente contra empresas de serviços e manufatura. Usa T1482 para mapear ambientes Active Directory multi-domínio antes de implantar ransomware. Tipicamente acessa o ambiente via credenciais VPN comprometidas e explora relações de trust para alcançar backups e servidores de arquivos em domínios adjacentes. ### [[g1043-blackbyte|BlackByte]] Ransomware como serviço (RaaS) que combina T1482 com [[t1558-003-kerberoasting|Kerberoasting]] para comprometer contas de serviço com permissões cross-domain. Usa [[s0359-nltest|nltest]] nativo como primeira ferramenta de reconhecimento de trust, seguido por [[s0552-adfind|AdFind]] para enumeração detalhada. ### [[g1053-storm-0501|Storm-0501]] e [[g1046-storm-1811|Storm-1811]] Afiliados de ransomware Microsoft-tracked que operam em ambientes híbridos. O Storm-0501 usa T1482 como pivô entre Active Directory on-premises e Azure AD, enquanto o Storm-1811 combina engenharia social (vishing de help desk) com enumeração de trust para escalar de um domínio de suporte para o domínio corporativo principal. ### [[g0059-magic-hound|Magic Hound]] Grupo de espionagem iraniano (APT35/Phosphorus) que usa T1482 para identificar caminhos de movimentação lateral em redes governamentais e acadêmicas. Relevante para Brasil dado o interesse iraniano em organismos multilaterais e pesquisa acadêmica em energia. ### [[g0061-fin8|FIN8]] Grupo financeiramente motivado com foco em setores de varejo, hotelaria e financeiro. Usa [[s0363-empire|Empire]] e scripts PowerShell para enumeração de trust como parte do reconhecimento pré-ransomware. ### Software Associado | Ferramenta / Malware | Tipo | Uso nesta Técnica | |--------------------|------|------------------| | [[s0359-nltest\|Nltest]] | Utilitário nativo Windows | Enumeração direta de domain trusts via `nltest /domain_trusts` | | [[s0552-adfind\|AdFind]] | Ferramenta LDAP | Consultas detalhadas a objetos `trustedDomain` no AD | | [[s0363-empire\|Empire]] | Framework C2 | Módulo PowerShell para enumeração de trusts via .NET | | [[s0521-bloodhound\|BloodHound]] | Ferramenta de análise AD | Visualização gráfica de caminhos de ataque cross-domain | | [[s0650-qakbot\|QakBot]] | Malware / loader | Enumeração automática de trusts na fase de pós-comprometimento | | [[s0483-icedid\|IcedID]] | Malware / loader | Envia mapa de trusts ao C2 para planejamento de movimentação lateral | | [[pikabot\|Pikabot]] | Malware / loader | Comportamento similar ao IcedID - reconhecimento AD na fase inicial | | [[s0534-bazar\|Bazar]] | Malware | Loader do grupo TrickBot/Conti usado para enumeração de AD | | [[s1124-socgholish\|SocGholish]] | Malware | Drive-by loader que frequentemente precede enumeração de AD | | [[s1146-mgbot\|MgBot]] | Malware | Usado pelo Daggerfly/Evasive Panda em campanhas de espionagem | | [[s1071-rubeus\|Rubeus]] | Ferramenta Kerberos | Usado em conjunto com T1482 para [[t1558-003-kerberoasting\|Kerberoasting]] cross-domain | --- *Fonte: [MITRE ATT&CK - T1482](https://attack.mitre.org/techniques/T1482)*