Entrada
Relatórios recentes descrevem um aumento de campanhas que visam exfiltrar o arquivo NTDS.dit de controladores de domínio — o banco de dados que contém hashes de senhas e informações críticas do Active Directory — permitindo potencial takeover completo de domínios.
Descoberta e escopo
Pesquisadores da Trellix, citados em reportagem da Cyber Security News, identificaram ataques nos quais adversários obtêm acesso administrativo a controladores de domínio, criam cópias de sombra (Volume Shadow Copies) e extraem o arquivo NTDS.dit junto com a hive do registro SYSTEM — necessária para descifrar os hashes de senha presentes no banco.
Vetor e técnicas observadas
- O ataque costuma começar com obtenção de credencial administrativa em um DC.
- Os invasores utilizam ferramentas legítimas do Windows, como vssadmin, para criar Volume Shadow Copies e contornar bloqueios de arquivo.
- Com acesso, são extraídos NTDS.dit e a hive SYSTEM, e ferramentas como SecretsDump e Mimikatz são utilizadas para recuperar hashes e credenciais.
- Ferramentas de execução remota como PsExec são mencionadas como facilitadoras da operação.
Evidências e detecção
A plataforma Trellix Helix correlaciona sinais de endpoint, rede e nuvem para construir uma narrativa do ataque: execução de PsExec, criação de cópia de sombra e transferências SMB incomuns são agregadas em um alerta crítico rotulado «Credential Theft: Exfiltration Of Active Directory Database». A detecção é mappeada para técnicas do MITRE ATT&CK, incluindo T1003.003 (OS credential dumping).
Impacto e alcance
Quando bem‑sucedida, a exfiltração do NTDS.dit permite ao atacante recuperar hashes de todas as contas de domínio, propiciando ataques de pass‑the‑hash, cracking offline de senhas e, em última instância, controle extensivo do ambiente Windows. O relatório afirma que técnicas sofisticadas de dump de credenciais foram observadas em múltiplos ambientes empresariais — sinalizando um alcance potencialmente amplo.
Evidências públicas e limites
O texto consultado descreve as técnicas e a capacidade da plataforma Trellix Helix de identificar o ataque, mas não apresenta números públicos precisos sobre quantas organizações foram comprometidas ou sobre campanhas atribuídas a grupos específicos. Também não há menção no sumário a CVEs ou a exploração de vulnerabilidade específica no AD: o vetor central é a obtenção de privilégios administrativos para permitir a extração.
Implicações para defensores
- Monitoramento de atividades relacionadas a Volume Shadow Copy, usos atípicos de vssadmin e movimentação de arquivos NTDS.dit entre hosts é crítico.
- Auditar contas com privilégios em controladores de domínio e restringir execução lateral de ferramentas administrativas pode reduzir a superfície de ataque.
- Soluções de correlação que mapeiem cadeia de eventos (execução remota + shadow copy + transferência SMB) ajudam a elevar alertas de alto impacto em vez de sinais isolados.
Conclusão
Relatos da Trellix, reproduzidos pela Cyber Security News, indicam que a exfiltração do NTDS.dit continua sendo uma das ameaças mais críticas para infraestruturas Windows empresariais, porque converte a posse de um controlador comprometido em capacidade efetiva de takeover do domínio. O artigo fonte descreve técnicas e capacidade de detecção, mas faltam dados públicos sobre escala e atribuição. Organizações com AD devem priorizar monitoramento e controles de privilégio.
Fonte: Cyber Security News (relato baseado em pesquisa da Trellix)