# DC0009 — User Account Deletion ## Descrição O componente **User Account Deletion** registra a remoção de contas de usuário, serviço ou máquina de sistemas operacionais, ambientes de nuvem ou serviços de diretório. A exclusão de contas pode ser um ato legítimo de desligamento ou offboarding, mas também pode ser utilizada por adversários para impedir a resposta a incidentes, remover evidências ou causar disrupção operacional. Adversários que obtiveram acesso privilegiado podem excluir contas de administradores de segurança para dificultar a recuperação do ambiente ([[t1531-account-access-removal|T1531-account-access-removal]]). Em ataques de ransomware, a exclusão de contas de backup e serviços de recuperação é um padrão recorrente antes da criptografia massiva. Operadores de ameaça também podem excluir contas temporárias criadas durante o ataque para apagar rastros ([[t1070-indicator-removal|T1070-indicator-removal]]). A correlação de eventos de exclusão com a criação prévia de contas ([[dc0014-user-account-creation]]) permite identificar padrões de "criar e apagar" — indicativo de contas de backdoor utilizadas e descartadas. Eventos de exclusão em massa, especialmente em contas de serviço ou administradores, devem acionar alertas de alta prioridade em qualquer SOC. Em ambientes Windows, o Event ID 4726 (conta de usuário deletada) deve ser monitorado em todos os Domain Controllers. Em ambientes cloud (Azure AD, AWS IAM, Google Workspace), as APIs de exclusão de identidade também geram logs auditáveis. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4726 | Conta de usuário local excluída | Security.evtx | | Windows (AD) | 4743 | Conta de computador excluída | Security.evtx | | Active Directory | 5141 | Objeto AD excluído | Security.evtx | | Azure AD | AuditLogs | Exclusão de usuário via portal/API | Azure Monitor | | AWS IAM | DeleteUser | Exclusão de usuário IAM | CloudTrail | | Linux | — | Execução de `userdel` | /var/log/auth.log | | Google Workspace | users.delete | Exclusão de usuário | Admin Activity Logs | ## Queries de Detecção ### KQL — Azure Sentinel: Exclusão de múltiplas contas em curto período ```kql AuditLogs | where TimeGenerated > ago(1h) | where OperationName == "Delete user" | summarize DeletedAccounts = count(), DeletedBy = make_set(tostring(InitiatedBy.user.userPrincipalName)) by bin(TimeGenerated, 10m) | where DeletedAccounts >= 3 | project TimeGenerated, DeletedAccounts, DeletedBy | order by DeletedAccounts desc ``` ### SPL — Splunk: Exclusão de contas privilegiadas (Admins) ```spl index=wineventlog EventCode=4726 | eval deleted_account=mvindex(Account_Name, 1) | search deleted_account=*admin* OR deleted_account=*svc* OR deleted_account=*backup* | stats count by deleted_account, SubjectUserName, ComputerName | table deleted_account, SubjectUserName, ComputerName, count | sort -count ``` ## Técnicas Relacionadas - [[t1531-account-access-removal|T1531-account-access-removal]] — Remoção de acesso de contas para impedir resposta a incidentes ou causar negação de serviço - [[t1070-indicator-removal|T1070-indicator-removal]] — Exclusão de contas criadas durante o ataque para apagar rastros de acesso - [[t1136-create-account|T1136-creaté-account]] — Frequentemente correlacionado: conta criada e excluída no mesmo incidente ## Contexto LATAM > [!globe] Relevância Regional > Em ataques de ransomware contra empresas brasileiras — especialmente nos setores de saúde e financeiro — a exclusão de contas de administradores de TI e desativação de serviços de backup é um passo documentado antes da fase de criptografia. Grupos como [[lockbit]] e operadores de ransomware locais incluem esse comportamento em seus playbooks. SOCs brasileiros devem configurar alertas imediatos para Event ID 4726 em DCs e exclusões em massa no Azure AD. ## Referências - [MITRE ATT&CK — DC0009: User Account Deletion](https://attack.mitre.org/datasources/DS0002/#User%20Account%20Deletion) - [[ds0002-user-account|DS0002 — User Account]] - [[t1531-account-access-removal|T1531-account-access-removal]] - [[_data-sources]] - [[_detections]]