Por que forense de AD é diferente de outros sistemas
Active Directory tem 2 níveis de comprometimento. Nível 1 (silver ticket): atacante extraiu hash de conta de serviço — afeta aquele serviço. Nível 2 (golden ticket): atacante extraiu hash KRBTGT — pode forjar TGT válido para qualquer usuário, indefinidamente, sem ser detectado pela maioria dos EDRs. Forense precisa identificar qual nível foi alcançado. Golden ticket exige reconstrução; silver pode ser remediado.
Erros que invalidam forense de AD
- 1.Reiniciar DC antes de captura de memória. RAM evidence se perde no reboot. Captura primeiro.
- 2.Reset KRBTGT antes de coletar evidência. Reset destrói parte do histórico forense. Coleta primeiro, reset depois.
- 3.Confiar apenas em EDR sem logs nativos do AD. EDR pode estar desabilitado nos DCs (atacante avançado faz isso). Logs nativos do Security Event são source-of-truth.
- 4.Não consultar AD recycle bin. Atacantes deletam contas de auditoria e recriam-nas. Recycle bin (se habilitado) preserva o registro.
6 evidências críticas a coletar
- 1
Logs do Security Event do DC primário
Eventos 4768 (TGT request), 4769 (TGS request), 4624 (logon), 4672 (special privileges). Procurar por: TGT com tempo de vida não-padrão, TGS para serviços incomuns, contas novas com privilégio elevado.
- 2
Dump de memória dos DCs
Procdump no lsass.exe (ou crash dump completo). Análise revela Mimikatz em execução, golden ticket sendo gerado, ou DCSync ativo. RAM evidence é volátil — capture antes de reboot.
- 3
Logs do EDR + Sysmon
Eventos de criação de processo lsadump::dcsync (DCSync explícito), comhijack para persistência, mimikatz.exe ou variantes ofuscadas (Invoke-Mimikatz no PowerShell).
- 4
Auditoria de mudanças de schema AD
Mudanças em AdminSDHolder, criação de novas OUs com permissão delegada, modificação de Group Policy. Atacante avançado deixa persistência via GPO.
- 5
Análise da conta KRBTGT
Atributo 'pwdLastSet' do KRBTGT. Se diferente de instalação inicial do domínio E você não fez reset planejado, indica DCSync. Verificar histórico via 'msDS-KeyVersionNumber'.
- 6
Linha do tempo correlacionando todos os logs
Use Plaso ou Splunk para criar timeline única. Identificar momento da entrada inicial, escalada para domain admin, momento de DCSync (se ocorreu).
Perguntas frequentes
Como saber se golden ticket foi gerado?
Sinais: (1) evento 4769 com TGS para conta inexistente; (2) evento 4768 com ticket lifetime > 10h (padrão do AD é 10h); (3) DCSync detectado nos logs ou no EDR; (4) hash do KRBTGT acessado via SAM dump. Se qualquer um confirmado: tratar como golden ticket existente.
Reset KRBTGT 2× resolve golden ticket?
Sim, se executado corretamente. Reset 1× invalida tickets ativos (incluindo golden); 2× com 10-24h de intervalo garante que tickets em cache também não funcionem. Sem 2× consecutivos, atacante pode renovar ticket válido durante a janela.
Quando reconstrução completa é necessária?
Quando golden ticket foi obtido E houve persistência via mudança de schema AD (GPO maliciosa, AdminSDHolder modificado, contas com sIDHistory adulterado). Esses controles não são revertidos por reset KRBTGT.
Forense de AD usa que ferramentas?
Pagas: Velociraptor, Velocidex, Plaso. Open source: ADRecon (snapshot), BloodHound (path analysis), Sigma rules em SIEM. PowerShell DSInternals para análise offline do NTDS.dit.
Quanto tempo leva forense de AD?
Captura inicial: 4-8h. Análise completa: 3-7 dias úteis. Relatório com timeline e recomendações: +2-3 dias. Total: ~10-14 dias para forense corporativa completa.
Active Directory comprometido?
Engenheiros Microsoft em até 6h. Cadeia de custódia documentada para uso judicial.