# T1615 - Group Policy Discovery ## Descrição **Group Policy Discovery** é a técnica pela qual um adversário com acesso inicial a um ambiente Windows/Active Directory mapeia as Group Policy Objects (GPOs) configuradas no domínio. As GPOs são o mecanismo central de configuração corporativa em ambientes Active Directory - elas controlam políticas de senha, restrições de execução de software, configurações de firewall, mapeamento de drives, scripts de logon e dezenas de outras configurações de segurança e operação. Para um adversário, ler as GPOs é equivalente a ler o "manual de segurança" da organização alvo. Os objetos de política ficam em um caminho de rede padronizado e previsível: `\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\`. Qualquer usuário autenticado no domínio pode ler este caminho por padrão, o que torna a técnica de baixo risco e alta recompensa. Ferramentas como `gpresult`, `Get-DomainGPO` (PowerView) e `Get-DomainGPOLocalGroup` são utilizadas para consultar configurações diretamente do Domain Controller sem necessidade de privilégios elevados. O valor estratégico desta técnica está na preparação para [[t1484-domain-or-tenant-policy-modification|Domain or Tenant Policy Modification]]: ao entender como as GPOs estão estruturadas, o adversário pode identificar qual GPO modificar para se propagar silenciosamente para todos os hosts do domínio - uma técnica amplamente documentada em operações de ransomware empresarial. No contexto **Brasil e LATAM**, esta técnica é particularmente relevante porque a grande maioria das organizações brasileiras de médio e grande porte opera em infraestrutura Windows/AD altamente dependente de GPOs para gerenciamento centralizado. Setores como financeiro, governo, saúde e educação são especialmente suscetíveis. [[g0010-turla|Turla]], grupo russo de espionagem com histórico de comprometimentos de longo prazo, utiliza [[s1141-lunarweb|LunarWeb]] para mapear GPOs em alvos governamentais e diplomáticos, incluindo representações diplomáticas na América Latina. > [!tip] Por que GPOs são tão valiosas para o adversário? > Uma GPO de domínio aplicada a "Todos os Computadores" é essencialmente um mecanismo de execução remota em toda a rede. Ao descobrir quais GPOs existem, o adversário encontra o caminho mais silencioso para movimentação lateral em massa - sem precisar de exploits, apenas de permissões de escrita que muitas vezes são mal gerenciadas. ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br>Usuário de domínio]) --> B([Discovery]) B --> C{T1615<br>Group Policy<br>Discovery}:::highlight C --> D([Mapeamento de<br>políticas de segurança]) C --> E([Identificação de<br>GPOs com scripts]) C --> F([Enumeração de<br>grupos locais via GPO]) D --> G(T1484<BR>DOMAIN POLICY<BR>MODIFICATION) E --> H([Persistência via<br>GPO Script]) F --> I([Movimentação Lateral<br>Grupos privilegiados]) G --> J([Propagação em massa<br>Ransomware / Wiper]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 - Enumeração de GPOs via Ferramentas Nativas** Com uma conta de usuário comum do domínio, o adversário executa `gpresult /R` para listar as GPOs aplicadas ao host e usuário atual, ou `gpresult /H report.html` para um relatório completo. Para enumeração do domínio inteiro, utiliza `Get-GPO -All` (módulo GroupPolicy do Windows) ou funções do PowerView como `Get-DomainGPO`. O caminho SYSVOL pode ser acessado diretamente via `dir \\<DOMAIN>\SYSVOL` sem autenticação adicional. Ferramentas como [[s0521-bloodhound|BloodHound]] e [[s0363-empire|Empire]] automatizam a correlação entre GPOs, OUs e grupos privilegiados. **Passo 2 - Análise de Políticas de Segurança e Oportunidades** O adversário analisa o conteúdo das GPOs em busca de configurações exploráveis: políticas de senha fracas (comprimento mínimo, complexidade), ausência de restrições de execução de software (AppLocker, WDAC), scripts de logon/logoff que possam ser substituídos, mapeamentos de drives que revelam servidores de arquivos críticos, configurações de proxy que expõem servidores internos, e - mais importante - identificação de quais contas têm permissão de **escrever** em GPOs de alto impacto (vinculadas ao nível de domínio ou a OUs de servidores). Ferramentas como [[s1159-dusttrap|DUSTTRAP]] e [[s0082-emissary|Emissary]] incluem módulos dedicados para essa análise. **Passo 3 - Uso Operacional para Propagação e Persistência** Com o mapa de GPOs estabelecido, o adversário escolhe o vetor de propagação: modificar uma GPO existente para adicionar script de startup malicioso (técnica [[t1484-domain-or-tenant-policy-modification|T1484]]), identificar grupos locais de administradores mapeados via GPO para alvos de movimentação lateral, ou localizar políticas de implantação de software (MSI/MSP) que possam ser substituídas por versões trojanizadas. Em operações de ransomware moderno, esse caminho é o responsável pela criptografia simultânea de centenas de hosts em minutos. ## Detecção ### Event IDs Relevantes (Windows) | Fonte | Event ID | Descrição | |-------|----------|-----------| | Security | 4688 | Process Creaté - monitorar `gpresult.exe`, `powershell.exe` com `Get-DomainGPO`, `Get-GPO` | | Security | 5136 | Objeto do DS modificado - **crítico** para detectar escrita em GPOs (T1484) | | Security | 5141 | Objeto do DS deletado - remoção de GPO por adversário | | Security | 4663 | Acesso a objeto - acesso a arquivos no caminho SYSVOL por contas não-administrativas | | Sysmon | 1 | Process Creaté - `gpresult.exe /H`, `gpresult.exe /X` salvando relatório | | Sysmon | 11 | File Creaté - criação de relatório GPO (`*.html`, `*.xml`) em diretório temp | | Sysmon | 18 | Pipe Connected - BloodHound e ferramentas similares usam named pipes | ### Sigma Rule ```yaml title: Group Policy Discovery via gpresult and PowerShell id: c5d9e4f3-6g0b-5c1d-de5f-3f4g7h8i9j0k status: experimental description: > Detecta enumeração de Group Policy Objects via gpresult, Get-GPO ou funções do PowerView (Get-DomainGPO). Comportamento característico de T1615, frequentemente precede modificação de GPO (T1484) ou movimentação lateral. author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1615 logsource: category: process_creation product: windows detection: selection_gpresult: Image|endswith: '\gpresult.exe' CommandLine|contains: - '/H' - '/X' - '/R' - '/Z' selection_ps_gpo: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Get-GPO' - 'Get-DomainGPO' - 'Get-DomainGPOLocalGroup' - 'Get-DomainGPOComputerLocalGroupMapping' - 'Get-DomainGPOUserLocalGroupMapping' selection_sysvol_access: Image|endswith: - '\powershell.exe' - '\pwsh.exe' - '\cmd.exe' CommandLine|contains: 'SYSVOL' filter_legitimate: ParentImage|endswith: - '\gpscript.exe' - '\gpsvc.dll' condition: (1 of selection_*) and not filter_legitimate falsepositives: - Administradores de domínio verificando aplicação de políticas - Scripts de auditoria de conformidade (CIS Benchmark, LGPD compliance) - Ferramentas de ITSM que verificam políticas regularmente level: medium tags: - attack.discovery - attack.t1615 ``` ## Mitigação | Controle | Descrição | Prioridade para Orgs Brasileiras | |----------|-----------|----------------------------------| | Auditoria de permissões em GPOs | Revisar quem tem permissão de escrita (Write/Modify) em cada GPO - especialmente GPOs vinculadas ao domínio raiz ou a OUs de Domain Controllers | Alta - frequentemente negligenciada em ambientes corporativos brasileiros | | Monitoramento de acesso ao SYSVOL | Alertar sobre acesso ao SYSVOL por contas não-administrativas ou fora de horário comercial | Alta - baixo custo de implementação, alto valor de detecção | | Tiering de contas privilegiadas | Separar contas com permissão de modificar GPOs (Tier 0) de contas de usuário e serviço | Alta - modelo de tiering de AD é essencial e pouco adotado no Brasil | | Alertas em Event ID 5136 | Monitorar qualquer modificação em objetos de Group Policy no Active Directory (DS Object Modified) | Alta - esse evento é o detector mais direto de abuso de GPO | | Restrição de ferramentas de AD | Bloquear via AppLocker/WDAC a execução de `BloodHound`, `SharpHound`, `PowerView` em hosts não-admin | Média - requer lista de permissões bem mantida | | Revisão periódica de GPOs orfãs | GPOs não vinculadas a nenhuma OU são alvos fáceis de abuso - inventariar e remover regularmente | Média - prática de higiene de AD frequentemente esquecida em grandes domínios | | Proteção do SYSVOL por acesso condicional | Em ambientes híbridos com Azure AD, aplicar Conditional Access ao acesso ao SYSVOL de dispositivos não gerenciados | Média - crítico para organizações em processo de migração para Azure AD | ## Threat Actors que Usam Esta Técnica [[g0010-turla|Turla]] - grupo russo de espionagem (FSB) com operações de persistência de longo prazo em alvos governamentais e diplomáticos. Utiliza [[s1141-lunarweb|LunarWeb]] e [[s0082-emissary|Emissary]] para mapear detalhadamente o ambiente Active Directory, incluindo GPOs, antes de qualquer ação visível. Documentado em comprometimentos de embaixadas e ministérios em múltiplos países - relevante para o contexto diplomático e governamental brasileiro. ## Software Associado | Ferramenta | Tipo | Uso na Técnica | |------------|------|----------------| | [[s0521-bloodhound\|BloodHound]] | Framework de análise AD | Mapeia automaticamente GPOs, vinculações a OUs e permissões de modificação | | [[s0363-empire\|Empire]] | Framework C2 | Módulo `powerview/get_gpo` para enumeração de políticas de domínio | | [[s1141-lunarweb\|LunarWeb]] | Backdoor (Turla) | Coleta informações de GPO como parte do reconhecimento de AD em alvos governamentais | | [[s1159-dusttrap\|DUSTTRAP]] | Implante | Inclui módulo de enumeração de AD e GPO para mapeamento de propagação | | [[s0082-emissary\|Emissary]] | RAT (Turla) | Realiza enumeração de domínio incluindo políticas de grupo em campanhas de espionagem | --- *Fonte: [MITRE ATT&CK - T1615](https://attack.mitre.org/techniques/T1615)*