Introdução
Active Directory continua sendo o coração da maioria das infraestruturas corporativas. Ele controla identidades, permissões, políticas, acesso a recursos e a relação de confiança entre sistemas. Também continua sendo o alvo preferencial de atacantes que conseguem acesso inicial a um ambiente.
A pergunta que qualquer programa de segurança maduro deveria responder com frequência é direta: se alguém conseguir um ponto de entrada na rede, até onde consegue chegar antes de ser detectado?
A YAGA, agente de Pentest desenvolvido pela HackerSec, foi construída para responder essa pergunta de forma autônoma, contínua e encadeada, operando dentro da infraestrutura como um agente que pensa em progressão, não em verificações isoladas.
O problema com avaliações pontuais de AD
Testes de Active Directory realizados uma ou duas vezes por ano capturam o estado do ambiente naquele momento. Configurações mudam. Novas contas são criadas. Delegações são adicionadas. Grupos crescem. Scripts de automação deixam rastros. Políticas são alteradas sem revisão de segurança.
Entre um teste e outro, a superfície de ataque evolui silenciosamente.
A YAGA opera nesse intervalo, garantindo que o ambiente seja avaliado de forma contínua, que regressões de segurança sejam detectadas rapidamente e que o caminho até o Domain Controller seja mapeado antes que um atacante real o descubra.
Arquitetura de operação em ambientes AD
A YAGA não entra em um ambiente de Active Directory como um scanner que dispara requisições em volume. Ela opera como um agente com raciocínio contextual, construindo progressivamente seu entendimento do ambiente antes de avançar para fases de exploração.
A arquitetura de operação em AD é organizada em camadas que se alimentam sequencialmente e em paralelo:
Camada de reconhecimento de domínio
O agente começa pelo entendimento da estrutura. Quais domínios existem, como se relacionam, quais trusts estão estabelecidos, qual é a topologia de sites e serviços, quais controladores de domínio estão ativos e como a infraestrutura de DNS está organizada. Esse mapa estrutural é a base sobre a qual todas as fases seguintes operam.
Camada de enumeração de objetos
Com a estrutura mapeada, a YAGA enumera os objetos do diretório que têm relevância para análise de segurança: contas de usuário, grupos, computadores, service accounts, contas com atributos especiais, GPOs ativas e suas configurações, OUs e a delegação aplicada em cada nível. Nada é descartado nessa fase. O agente constrói um grafo interno do ambiente.
Camada de análise de configuração
Sobre o grafo construído, a YAGA aplica análise de configuração. Delegações excessivas, relações de confiança mal configuradas, permissões atribuídas diretamente em vez de via grupos, contas com privilégios desnecessários, políticas de senha fracas, atributos legados habilitados sem necessidade. Cada achado de configuração é registrado com o contexto de onde aparece no grafo.
Camada de exploração encadeada
Com o mapa de configuração em mãos, o agente avança para exploração ativa, construindo caminhos de progressão baseados no que o ambiente revela sobre si mesmo.
Camada de correlação com stacks externos
Através das integrações MCP da YAGA, os achados de AD são correlacionados com informações de outras fontes do ambiente. Logs de sistemas, dados de endpoints, informações de aplicações integradas ao diretório e contexto de identidade de outros produtos ampliam a visibilidade do agente além do que o próprio AD declara sobre si mesmo.
Como a YAGA pensa em progressão dentro do AD
A diferença entre uma ferramenta de enumeração e um agente autônomo está no raciocínio sobre o que fazer com o que foi encontrado.
A YAGA não apenas lista. Ela avalia caminhos.
Quando o agente identifica uma conta de serviço com delegação irrestrita em um servidor específico, ele não registra o achado e segue em frente. Ele avalia qual é a posição daquele servidor no ambiente, quais contas se autenticam nele, qual é o impacto real de explorar aquela delegação naquele contexto e se existe um caminho desde esse ponto até objetos de maior privilégio.
Esse raciocínio de progressão é o que transforma achados individuais em cadeias de ataque que refletem o que um adversário real construiria.
Encadeamento de testes: da conta comprometida ao Domain Controller
O caminho mais comum de comprometimento em ambientes AD não começa no Domain Controller. Começa em algum ponto de baixo privilégio e progride através de uma série de decisões de configuração que, individualmente, parecem aceitáveis.
A YAGA mapeia e explora esses caminhos de forma autônoma:
Do ponto de entrada inicial ao entendimento do contexto de identidade
A partir de qualquer nível de acesso inicial, o agente começa a construir seu entendimento de onde está no ambiente. Qual é o domínio, qual é a conta disponível, quais são os grupos de que faz parte, quais recursos são acessíveis com esse contexto e o que esse acesso revela sobre o ambiente ao redor.
Da enumeração de sessões ao mapeamento de alvos de alto valor
A YAGA identifica onde contas privilegiadas têm sessões ativas. Administradores de domínio que estão autenticados em workstations comuns, service accounts com alto privilégio rodando em servidores acessíveis, contas de suporte com acesso delegado em OUs sensíveis. Esses alvos são mapeados como pontos de progressão potencial.
Das configurações de serviço aos caminhos de escalada de privilégio
Service accounts com SPNs registrados, configurações de delegação, permissões de ACL em objetos do diretório e atributos que habilitam comportamentos especiais são avaliados pela YAGA como vetores de progressão. O agente constrói o grafo de caminhos possíveis e prioriza os de menor resistência e maior impacto.
Da escalada local ao movimento lateral
Quando a YAGA identifica um caminho de escalada em um sistema específico, ela avalia imediatamente o que esse sistema representa no ambiente mais amplo. Escalada em um servidor que hospeda autenticação delegada tem implicações diferentes de escalada em uma workstation isolada. O agente encadeia a escalada com o próximo passo de movimento lateral.
Do movimento lateral ao controle de identidade privilegiada
À medida que o agente progride no ambiente, cada nova identidade obtida expande o que é possível acessar e enumerar. A YAGA atualiza seu grafo interno continuamente, reavaliando quais caminhos antes inacessíveis agora estão disponíveis com o novo contexto de identidade.
Da identidade privilegiada ao Domain Controller
Os últimos passos da cadeia envolvem operações contra os objetos de maior sensibilidade do ambiente. A YAGA avalia o acesso ao Domain Controller não como um objetivo final isolado, mas como a demonstração de que a cadeia completa é percorrível, desde o ponto de entrada inicial até o nível mais alto de controle do domínio.
Integrações via MCP: visibilidade além do diretório
O Active Directory declara sua estrutura, mas não conta tudo. O que realmente acontece no ambiente vive em logs, em configurações de endpoints, em dados de autenticação e em sistemas integrados que consomem identidade do diretório.
A YAGA utiliza suas integrações via MCP para expandir a visibilidade além do que o próprio AD expõe:
Correlação com telemetria de endpoints
Dados de comportamento de endpoints integrados ao ambiente enriquecem o grafo que a YAGA constrói. Contas que autenticam em horários incomuns, sistemas que fazem requisições fora do padrão, processos que executam com credenciais de serviço em contextos inesperados. Esses sinais complementam a análise de configuração do diretório.
Integração com fontes de log
Logs de autenticação, eventos de acesso a recursos, registros de mudança de política e outros dados de auditoria são consumidos pela YAGA para validar hipóteses construídas durante a enumeração. O agente cruza o que o diretório diz com o que os logs mostram que realmente acontece.
Acesso a sistemas integrados ao AD
Aplicações corporativas que delegam autenticação ao Active Directory frequentemente herdam configurações problemáticas do diretório. A YAGA avalia como esses sistemas consomem identidade, quais atributos do diretório utilizam para tomar decisões de autorização e onde essas decisões podem ser influenciadas.
Contexto de cloud e híbrido
Ambientes que sincronizam identidade entre AD on-premises e provedores de identidade em cloud criam superfícies de ataque que se estendem além do perímetro tradicional. A YAGA mapeia essas relações de sincronização e avalia onde inconsistências entre os dois mundos criam oportunidades de progressão.
Configurações que a YAGA avalia continuamente
Ambientes AD acumulam dívida de configuração ao longo do tempo. A YAGA opera de forma contínua sobre essa dívida, identificando onde ela representa risco real:
Categorias de risco avaliadas continuamente
| Categoria | Risco |
|---|---|
| Atributos legados habilitados | Relaxam controles de autenticação modernos, abrindo vetores de downgrade |
| Grupos com membros excessivos | Princípio de menor privilégio perdido após anos de crescimento orgânico |
| ACLs em objetos sensíveis | Permitem modificação de objetos críticos por contas sem justificativa |
| GPOs com inconsistências | Criam diferenças de segurança entre sistemas dentro do mesmo domínio |
| Relações de confiança obsoletas | Trusts que não refletem mais a realidade organizacional mas permanecem ativos |
Cada uma dessas categorias é avaliada pela YAGA não como um checklist estático, mas como um conjunto de hipóteses sobre o que é possível fazer com aquela configuração naquele ambiente específico.
O que a YAGA entrega ao final de um ciclo
Ao final de cada ciclo de avaliação em ambiente AD, a YAGA produz uma visão consolidada que vai além de uma lista de achados:
Grafo de caminhos de ataque
Mostra as rotas percorríveis desde diferentes pontos de entrada até objetivos de alto valor. Cada caminho é acompanhado de evidências das etapas executadas, dos achados que o tornam possível e do impacto esperado se percorrido por um adversário real.
Análise de regressão
Compara o estado atual com avaliações anteriores, destacando o que mudou, o que melhorou e o que regrediu. Especialmente relevante em ambientes onde mudanças de configuração acontecem continuamente sem revisão de segurança formal.
Priorização por impacto real
Caminhos que chegam ao Domain Controller em poucos passos recebem prioridade máxima, independentemente de quantos achados individuais de menor severidade existem no ambiente.
Conclusão
Active Directory não é uma tecnologia estática. Ele evolui junto com a organização, acumulando configurações, delegações e relações de confiança que raramente são revisadas com a frequência necessária.
A YAGA aborda esse ambiente com uma arquitetura de orquestração que combina enumeração estrutural, análise de configuração, exploração encadeada e correlação com fontes externas.