root@hacklab:~$
[]
ONLINE

Active Directory - Fase 3: Pós-exploração

Objetivo

Medir alcance real após comprometimento inicial, validando caminhos de movimento lateral entre ativos AD e impacto por tier administrativo.

Checklist Operacional

  1. Mapear relações de confiança entre domínios/forests e ativos críticos.
  2. Validar caminhos de administração remota mais prováveis.
  3. Correlacionar identidade usada no pivô com permissões efetivas.
  4. Consolidar impacto técnico e prioridade de contenção.

Comandos e Validações de Alcance

terminal
# Sessões e autenticação
query user
qwinsta
klist

# Descoberta de ativos e domínio
net view /domain
nltest /dclist:%USERDOMAIN%

# Relações de trust e contexto AD
Get-ADTrust -Filter *
Get-ADComputer -Filter * | Select-Object -First 40

# Evidência de eventos em Security Log
wevtutil qe Security /c:30 /f:text

Validação e Evidência

  • Documentar origem, destino, identidade e técnica de pivô.
  • Registrar quais ativos críticos ficaram acessíveis após o movimento.
  • Relacionar impacto técnico com impacto de negócio por segmento.

Mitigação e Detecção

  • Aplicar segmentação administrativa por tier e hardening de canais remotos.
  • Restringir trust relationships e reduzir exposição entre domínios.
  • Detectar padrões anômalos de autenticação lateral e uso de contas privilegiadas.

Referências de Base