Active Directory - Fase 1: Enumeração
Objetivo
Descobrir relações críticas de identidade e confiança no AD para priorizar caminhos reais de comprometimento de privilégio.
Checklist Operacional
- Mapear domínio, forest, trusts, DCs ativos e relação com DNS/LDAP/Kerberos.
- Identificar contas/grupos privilegiados, contas de serviço, SPNs e delegações sensíveis.
- Analisar ACLs, GPOs, sessions e objetos com alto potencial de abuso em BloodHound.
- Separar informação útil de caminho explorável até Tier-0.
- Correlacionar achados em caminho de ataque com menor custo operacional e menor ruído.
Comandos e Coleta (Dia a Dia)
terminal
# Base de domínio
whoami
nltest /dsgetdc:%USERDOMAIN%
nltest /dclist:%USERDOMAIN%
# Usuários e grupos privilegiados
net group "Domain Admins" /domain
net group "Enterprise Admins" /domain
net group "Administrators" /domain
# PowerShell AD
Get-ADDomain
Get-ADForest
Get-ADTrust -Filter *
Get-ADUser -Filter * -Properties adminCount,memberOf | Select-Object -First 30
Get-ADComputer -Filter * | Select-Object -First 30
Get-ADUser -Filter {ServicePrincipalName -like "*"} -Properties servicePrincipalName
Get-ADGroup -Filter * -Properties ManagedBy | Select-Object -First 30
# GPO e contexto
gpresult /R
# Caminho de ataque
# Coletar somente em escopo autorizado e documentar data, usuário e origem
bloodhound-python -d DOMINIO.LOCAL -u USUARIO -p SENHA -ns DC_IP -c AllMapeamento ATT&CK
- TA0007 Discovery: domínio, forest, trusts, grupos, computadores e sessões.
- T1482 Domain Trust Discovery: trusts entre domínios e forests.
- T1087.002 Domain Account: usuários, grupos e contas privilegiadas de domínio.
- T1069.002 Domain Groups: grupos administrativos, delegações e memberships sensíveis.
- T1018 Remote System Discovery: descoberta de computadores e ativos alcançáveis.
Validação e Evidência
- Registrar objeto AD, controle vulnerável e impacto esperado.
- Documentar qual relação de trust/delegação abre caminho para exploração.
- Priorizar achados que expõem contas Tier-0, controladores de domínio, ADCS ou GPOs críticas.
- Guardar caminho de ataque como sequência de objetos e permissões, não apenas como screenshot de grafo.
Mitigação e Detecção
- Revisar memberships privilegiados e delegações com recertificação periódica.
- Aplicar segmentação administrativa por tier e mínimo privilégio.
- Monitorar alterações de grupos sensíveis, ACL e GPO.