Desvendando o BloodHound: Rastros de Coletores em Logs do Windows
Este artigo explora como identificar a atividade do BloodHound em ambientes Active Directory, analisando os rastros deixados pelos coletores SharpHound e BloodHound.py nos logs do Windows. Descubra as técnicas para detectar e mitigar o uso dessa poderosa ferramenta de coleta de informações por atacantes e equipes de Red Team.
MundiX News·02 de maio de 2026·10 min de leitura·👁 3 views
O Active Directory (AD) continua sendo um alvo primário para cibercriminosos, equipes de Red Teaming e pentestadores. Com a evolução dos sistemas operacionais Windows, novas vetores de ataque ao AD surgem constantemente, como as ameaças às Delegated Managed Service Accounts (dMSA) previstas para 2025. Uma fase crítica em qualquer ataque é a coleta de informações, cuja detecção é mais complexa do que aparenta. Relatórios indicam que a dificuldade em identificar essa etapa, devido a um alto volume de falsos positivos, compromete a eficácia da detecção e a prevenção de ataques, especialmente em infraestruturas de grande escala.
Neste artigo, Stepan Lyakhov, engenheiro sênior de SOC na Kaspersky, detalha um dos mais populares instrumentos para coleta de informações sobre domínios Active Directory: o BloodHound. Ele examina os vestígios que essa ferramenta deixa nos logs do Windows e como identificar sua atividade. Ao longo dos últimos 15 anos, as ferramentas de coleta de informações evoluíram de simples scripts para frameworks robustos. Entre elas, destacam-se PowerView, ADRecon, PingCastle e Impacket. No entanto, o BloodHound, nomeado em homenagem a uma antiga raça de cães de caça belgas, estabeleceu-se como um padrão para a coleta de informações sobre objetos do Active Directory.
O BloodHound, lançado em 2016, foi projetado para simplificar a busca pelo caminho mais curto para obter privilégios de administrador de domínio, visualizando as relações entre os objetos do AD em um formato de grafo. Apesar de sua longevidade, seu uso em ataques é frequentemente mencionado em relatórios da Kaspersky. Em 2022, um relatório sobre táticas, técnicas e procedimentos de grupos APT asiáticos destacou o uso do BloodHound em conjunto com outras ferramentas para coletar informações sobre relações de confiança (Domain Trusts) e vulnerabilidades no AD. Em 2023, um relatório sobre tendências de ransomware apontou que grupos APT que utilizam ransomware também empregam o BloodHound para mapear a infraestrutura alvo. Relatórios subsequentes, incluindo o de 2024 e o de paisagem de ameaças de 2025, continuam a citar o BloodHound como uma ferramenta de reconhecimento essencial. Notavelmente, em 1% dos incidentes analisados em 2025, o coletor SharpHound.exe foi utilizado por atacantes para coleta de informações. Isso demonstra que, apesar de sua idade e ampla divulgação, o BloodHound permanece uma ferramenta relevante para atacantes de diversos níveis. A equipe de SOC Consulting da Kaspersky analisou as informações que os coletores do BloodHound podem coletar e como detectar essa atividade nos logs do Windows através de um SIEM, como o KUMA.
Em 2023, os desenvolvedores do SpecterOps dividiram o BloodHound em duas versões: BloodHound Enterprise e BloodHound Community Edition (CE). O Enterprise é uma solução SaaS focada em gerenciamento de riscos de ataques ao AD, com coleta e verificação periódica de dados, identificação de vulnerabilidades e recomendações de correção. Para equipes de Red Team, o BloodHound CE é a versão de interesse, pois é mais comumente utilizada por atacantes e pentestadores. Os principais vestígios do BloodHound são deixados por seus coletores. Oficialmente, existem dois: SharpHound (executável e script PowerShell) e AzureHound (para Azure AD e AzureRM). Informalmente, o BloodHound.py, uma versão em Python 3, permite sua execução em Linux e macOS, sendo baseado no Impacket e compatível com diferentes versões do BloodHound. Para ambientes on-premise, o foco recai sobre os coletores SharpHound e BloodHound.py. Ambos os coletores possuem múltiplos modos de coleta de dados: o SharpHound com 21 modos e o BloodHound.py com 14. Embora suas implementações difiram, eles compartilham muitas funcionalidades. A análise detalhada desses modos e os rastros que deixam nos logs do Windows são cruciais para a detecção.
Para analisar os rastros, foi montado um ambiente de teste com um controlador de domínio Windows Server 2025, uma máquina cliente Windows 11 com configurações vulneráveis (para executar o SharpHound) e uma máquina Kali Linux (para executar o BloodHound.py). Os logs de eventos foram direcionados para uma instalação SIEM KUMA. É importante notar que, em ambientes reais, o volume de eventos pode variar, mas o padrão de comportamento dos coletores permanece o mesmo, tornando a detecção ainda mais clara. O SharpHound, versão 2.9.0, foi testado em seus formatos .exe e .ps1. Como alternativa, o BloodHound.py, versão 1.8.0, foi utilizado. Ambos exigem privilégios de administrador local para execução. Ao analisar o modo de coleta 'Default', observou-se que o SharpHound gera múltiplos eventos de autorização, frequentemente sob diferentes usuários e com Target Logon IDs únicos, indicando a coleta de informações em partes e a reutilização de contextos de segurança. O BloodHound.py, por outro lado, exibe uma atividade mais contida, com menos eventos de autorização e um escopo de coleta mais restrito em comparação com o SharpHound. A análise comparativa dos modos de coleta de ambos os coletores revela diferenças significativas nos Event IDs gerados e nas características de acesso a recursos de rede, como pipes e compartilhamentos. Todos os eventos de autorização gerados são do tipo de entrada de rede (logon type 3). A ausência de especificação de protocolo de autenticação resulta em tentativas via NTLM e Kerberos. Eventos como 4661, 4658, 5140, 4672, embora gerados, não são cruciais para a detecção primária. A tabela comparativa detalha as diferenças em eventos, tempo de execução, contas utilizadas e acesso a recursos para cada modo de coleta, permitindo que administradores de segurança identifiquem a presença do BloodHound em seus ambientes.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O Active Directory (AD) continua sendo um alvo primário para cibercriminosos, equipes de Red Teaming e pentestadores. Com a evolução dos sistemas operacionais Windows, novas vetores de ataque ao AD surgem constantemente, como as ameaças às Delegated Managed Service Accounts (dMSA) previstas para 2025. Uma fase crítica em qualquer ataque é a coleta de informações, cuja detecção é mais complexa do que aparenta. Relatórios indicam que a dificuldade em identificar essa etapa, devido a um alto volume de falsos positivos, compromete a eficácia da detecção e a prevenção de ataques, especialmente em infraestruturas de grande escala.
Neste artigo, Stepan Lyakhov, engenheiro sênior de SOC na Kaspersky, detalha um dos mais populares instrumentos para coleta de informações sobre domínios Active Directory: o BloodHound. Ele examina os vestígios que essa ferramenta deixa nos logs do Windows e como identificar sua atividade. Ao longo dos últimos 15 anos, as ferramentas de coleta de informações evoluíram de simples scripts para frameworks robustos. Entre elas, destacam-se PowerView, ADRecon, PingCastle e Impacket. No entanto, o BloodHound, nomeado em homenagem a uma antiga raça de cães de caça belgas, estabeleceu-se como um padrão para a coleta de informações sobre objetos do Active Directory.
O BloodHound, lançado em 2016, foi projetado para simplificar a busca pelo caminho mais curto para obter privilégios de administrador de domínio, visualizando as relações entre os objetos do AD em um formato de grafo. Apesar de sua longevidade, seu uso em ataques é frequentemente mencionado em relatórios da Kaspersky. Em 2022, um relatório sobre táticas, técnicas e procedimentos de grupos APT asiáticos destacou o uso do BloodHound em conjunto com outras ferramentas para coletar informações sobre relações de confiança (Domain Trusts) e vulnerabilidades no AD. Em 2023, um relatório sobre tendências de ransomware apontou que grupos APT que utilizam ransomware também empregam o BloodHound para mapear a infraestrutura alvo. Relatórios subsequentes, incluindo o de 2024 e o de paisagem de ameaças de 2025, continuam a citar o BloodHound como uma ferramenta de reconhecimento essencial. Notavelmente, em 1% dos incidentes analisados em 2025, o coletor SharpHound.exe foi utilizado por atacantes para coleta de informações. Isso demonstra que, apesar de sua idade e ampla divulgação, o BloodHound permanece uma ferramenta relevante para atacantes de diversos níveis. A equipe de SOC Consulting da Kaspersky analisou as informações que os coletores do BloodHound podem coletar e como detectar essa atividade nos logs do Windows através de um SIEM, como o KUMA.
Em 2023, os desenvolvedores do SpecterOps dividiram o BloodHound em duas versões: BloodHound Enterprise e BloodHound Community Edition (CE). O Enterprise é uma solução SaaS focada em gerenciamento de riscos de ataques ao AD, com coleta e verificação periódica de dados, identificação de vulnerabilidades e recomendações de correção. Para equipes de Red Team, o BloodHound CE é a versão de interesse, pois é mais comumente utilizada por atacantes e pentestadores. Os principais vestígios do BloodHound são deixados por seus coletores. Oficialmente, existem dois: SharpHound (executável e script PowerShell) e AzureHound (para Azure AD e AzureRM). Informalmente, o BloodHound.py, uma versão em Python 3, permite sua execução em Linux e macOS, sendo baseado no Impacket e compatível com diferentes versões do BloodHound. Para ambientes on-premise, o foco recai sobre os coletores SharpHound e BloodHound.py. Ambos os coletores possuem múltiplos modos de coleta de dados: o SharpHound com 21 modos e o BloodHound.py com 14. Embora suas implementações difiram, eles compartilham muitas funcionalidades. A análise detalhada desses modos e os rastros que deixam nos logs do Windows são cruciais para a detecção.
Para analisar os rastros, foi montado um ambiente de teste com um controlador de domínio Windows Server 2025, uma máquina cliente Windows 11 com configurações vulneráveis (para executar o SharpHound) e uma máquina Kali Linux (para executar o BloodHound.py). Os logs de eventos foram direcionados para uma instalação SIEM KUMA. É importante notar que, em ambientes reais, o volume de eventos pode variar, mas o padrão de comportamento dos coletores permanece o mesmo, tornando a detecção ainda mais clara. O SharpHound, versão 2.9.0, foi testado em seus formatos .exe e .ps1. Como alternativa, o BloodHound.py, versão 1.8.0, foi utilizado. Ambos exigem privilégios de administrador local para execução. Ao analisar o modo de coleta 'Default', observou-se que o SharpHound gera múltiplos eventos de autorização, frequentemente sob diferentes usuários e com Target Logon IDs únicos, indicando a coleta de informações em partes e a reutilização de contextos de segurança. O BloodHound.py, por outro lado, exibe uma atividade mais contida, com menos eventos de autorização e um escopo de coleta mais restrito em comparação com o SharpHound. A análise comparativa dos modos de coleta de ambos os coletores revela diferenças significativas nos Event IDs gerados e nas características de acesso a recursos de rede, como pipes e compartilhamentos. Todos os eventos de autorização gerados são do tipo de entrada de rede (logon type 3). A ausência de especificação de protocolo de autenticação resulta em tentativas via NTLM e Kerberos. Eventos como 4661, 4658, 5140, 4672, embora gerados, não são cruciais para a detecção primária. A tabela comparativa detalha as diferenças em eventos, tempo de execução, contas utilizadas e acesso a recursos para cada modo de coleta, permitindo que administradores de segurança identifiquem a presença do BloodHound em seus ambientes.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
