# AN1235 — Analytic 1235 ## Descrição Detecta o uso de ferramentas nativas como 'net user /add', PowerShell ou WMI para criar uma conta de usuário local no Windows, potencialmente para estabelecer acesso persistente. A telemetria inclui o evento de segurança 4720 (criação de conta) correlacionado com criação de processo de executáveis suspeitos como powershell.exe ou net.exe. Essa análise permite identificar criação de backdoors de conta local que adversários usam para manter acesso ao ambiente mesmo após mudanças de credenciais. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136.001-local-account|T1136.001 — Local Account]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1235](https://attack.mitre.org/detectionstrategies/DET0447#AN1235)*