# AN1001 — Analytic 1001 ## Descrição Este analítico detecta a ocultação de contas de usuário no Windows através de modificações na chave de Registro `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList` definindo a visibilidade do usuário como 0, ou criação de contas não exibidas na tela de login. A telemetria utilizada inclui eventos de modificação de Registro (Sysmon EID 13 e EID 14) e eventos de criação de conta (EID 4720) correlacionados com edições subsequentes ao Registro que marcam o usuário como oculto. A detecção é importante porque contas ocultas são uma técnica de persistência usada por APTs e operadores de ransomware para manter acesso furtivo a sistemas comprometidos sem que administradores percebam a presença de contas não autorizadas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1136-create-account|T1136 — Create Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN1001](https://attack.mitre.org/detectionstrategies/DET0353#AN1001)*