Red teamers detectam honeypots no Active Directory sem autenticar, e os defensores precisam saber como

Red teamers não estão mais apenas evitando honeypots, estão desmontando sua lógica de detecção em tempo real, sem sequer autenticar. A técnica descrita na notícia atual é uma resposta direta à onda de implantações defensivas baseadas em 'contas bonitas mas vazias': contas com nomes sugestivos (svc_backup_adm, dc02$), grupos privilegiados e SPNs falsos, mas sem histórico operacional. O que expõe o engodo não é um erro de configuração, mas uma contradição estrutural no Active Directory: uma máquina que ingressa no domínio *precisa* autenticar via Netlogon para gerar seu primeiro lastLogon. Se o valor é zero, ou aparece como 12/31/1600 em ferramentas de conversão, a conta nunca foi usada, nem mesmo para se juntar ao domínio. Isso não é um sinal fraco: é uma prova matemática de artificialidade.

O risco é real e crescente. Dados do Verizon DBIR 2025 mostram que 88% das violações envolvem credenciais comprometidas, e 40% dos ataques ao AD são bem-sucedidos. Com 78% dos alvos sendo ambientes híbridos (locais + nuvem), o honeypot mal configurado vira uma porta de entrada disfarçada: ele atrai o atacante, mas não impede a exploração, só adia o alerta. E quando o red team detecta o engodo antes de tocar nele, o defensor perde a única vantagem que tinha: o elemento surpresa.

A cobertura CEVIU de maio sobre honeypots com IA (/newsletter/ceviu-seguranca-da-informacao/honeypots-com-ia-invertendo-o-jogo-contra-agentes-maliciosos) destacava a geração automática de iscas realistas. Agora, em junho, a ofensiva evoluiu: não basta criar uma conta com nome convincente, é preciso simular comportamento. A nova técnica mostra que a IA generativa resolveu metade do problema (identidade), mas falha na outra metade (histórico). O lastLogon = 0 é o ponto cego dessa abordagem. Enquanto os defensores investem em iscas mais sofisticadas, os atacantes refinam métodos para testar sua autenticidade sem interagir diretamente, transformando o honeypot de armadilha em indicador de fraqueza operacional.

Isso importa porque expõe um equívoco estratégico comum: tratar honeypots como uma camada de segurança, em vez de um instrumento de observação. Um honeypot que pode ser identificado com duas chamadas SAMR não protege nada, só gera falsos positivos e distrai analistas. O verdadeiro valor está em combinar iscas com monitoramento de comportamento real: se 90% das empresas usam AD e metade já sofreu ataques, então o lastLogon inconsistente entre controladores de domínio não é um detalhe técnico, é um sintoma de má governança de identidade. Defensores que ainda dependem de alertas baseados só em consultas LDAP estão cegos para o tráfego legítimo que carrega dados sensíveis: backup agents, SCCM, Intune e até o próprio Windows Update usam SAMR e LSA diariamente. Ignorar esse tráfego é deixar uma janela aberta de 445, e não é a porta TCP que está em jogo, é a confiança no modelo de detecção.