# AN0007 — Analytic 0007 ## Descrição Detecta adversários com acesso a ferramentas de gerenciamento de domínio (ex: `realmd`, `samba-tool`, `ldapmodify`) criando novos usuários de domínio via utilitários de linha de comando em Linux, onde um comando LDAP ou script aciona a adição de entrada de usuário no AD via tráfego Kerberos/LDAP. A telemetria inclui logs de auditoria do sistema (auditd), captura de tráfego LDAP e logs de autenticação Kerberos no servidor AD. Esse analítico é relevante para ambientes híbridos onde sistemas Linux integram-se ao Active Directory e podem ser usados como vetor de criação de contas backdoor. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0007](https://attack.mitre.org/detectionstrategies/DET0003#AN0007)*