Active Directory - Fase 3: Pós-exploração
Objetivo
Medir alcance real após comprometimento inicial, validando caminhos de movimento lateral, abuso de identidade e impacto por tier administrativo sem confundir alcance de rede com controle efetivo.
Checklist Operacional
- Mapear relações de confiança entre domínios/forests e ativos críticos.
- Validar caminhos de administração remota mais prováveis e seus protocolos.
- Correlacionar identidade usada no pivô com permissões efetivas, sessão, ticket ou hash.
- Priorizar caminhos que atinjam Tier-0, GPOs, servidores de arquivos sensíveis ou sistemas de gestão.
- Consolidar impacto técnico e prioridade de contenção.
Comandos e Validações de Alcance
terminal
# Sessões e autenticação
query user
qwinsta
klist
# Descoberta de ativos e domínio
net view /domain
nltest /dclist:%USERDOMAIN%
# Relações de trust e contexto AD
Get-ADTrust -Filter *
Get-ADComputer -Filter * | Select-Object -First 40
Get-ADGroupMember "Domain Admins"
# Caminhos de administração e sessões
net group "Remote Management Users" /domain
net group "Remote Desktop Users" /domain
# Evidência de eventos em Security Log
wevtutil qe Security /c:30 /f:textCaminhos de Alto Valor
- Credencial de usuário com admin local em múltiplos hosts: risco de pivô por SMB, WinRM, WMI ou RDP.
- Conta de serviço com SPN e privilégio excessivo: risco de abuso de identidade e alcance em servidores críticos.
- Trust permissivo entre domínios: risco de propagação de impacto fora do domínio inicial.
- GPO ou OU administrável por conta não privilegiada: risco de execução em massa e alteração de baseline.
- Sessão privilegiada em host comprometido: risco de captura ou abuso de token dentro do escopo autorizado.
Mapeamento ATT&CK
- TA0008 Lateral Movement: pivô validado entre ativos por identidade, ticket, token ou trust.
- T1021 Remote Services: SMB, RDP, WinRM, WMI e outros canais administrativos.
- T1550.003 Pass the Ticket: reutilização de ticket Kerberos quando comprovada em escopo.
- T1550.002 Pass the Hash: autenticação lateral com hash NTLM.
- T1134 Access Token Manipulation: abuso de sessão privilegiada ou token em host comprometido.
Validação e Evidência
- Documentar origem, destino, identidade, tipo de material de autenticação e técnica de pivô.
- Registrar quais ativos críticos ficaram acessíveis após o movimento.
- Relacionar impacto técnico com impacto de negócio por segmento.
- Salvar trilha de auditoria suficiente para reproduzir o caminho sem repetir ações destrutivas.
Mitigação e Detecção
- Aplicar segmentação administrativa por tier e hardening de canais remotos.
- Restringir trust relationships e reduzir exposição entre domínios.
- Remover administração local ampla, limitar logon interativo e aplicar Protected Users quando aplicável.
- Detectar padrões anômalos de autenticação lateral, uso de contas privilegiadas e acesso a share administrativo.