# AN1077 — Analytic 1077 ## Descrição Este analítico detecta o comportamento adversarial onde uma conta de usuário recém-criada ou renomeada se assemelha a contas de serviço ou administrador existentes para se camuflar e evitar detecção. Padrões comuns incluem modificações de prefixo/sufixo, homóglifos ou uso de nomes como `admin1`, `adm1n` ou `backup_help`. Utiliza telemetria de eventos de segurança do Windows (Event ID 4720 — criação de conta, 4738 — modificação de conta) e análise de similaridade de strings para identificar nomes suspeitos. A detecção é importante porque a criação de contas mascaradas é uma técnica de persistência comum usada por atacantes após comprometimento de controladores de domínio. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1077](https://attack.mitre.org/detectionstrategies/DET0383#AN1077)*