dc0010-user-account-modification

# DC0010 — User Account Modification ## Descrição O componente **User Account Modification** registra alterações em contas de usuário, serviço ou máquina existentes — incluindo mudanças em atributos, permissões, funções, métodos de autenticação ou memberships em grupos. Esse componente é essencial para detectar escalação de privilégios, persistência via manipulação de contas e evasão de defesas. Adversários que comprometem uma conta com privilégios moderados frequentemente a modificam para elevar suas permissões sem criar novas contas (o que geraria maior ruído). Técnicas comuns incluem adicionar memberships em grupos privilegiados ([[t1098-account-manipulation|T1098-account-manipulation]]), alterar o SPN (Service Principal Name) de uma conta para ataques Kerberoasting, habilitar contas desabilitadas ou modificar políticas de senha para contornar controles. A detecção é especialmente valiosa quando a modificação envolve contas de serviço, contas de administrador de domínio ou contas com permissões de acesso a backups e infraestrutura crítica. Em ambientes Azure AD, a adição de métodos de MFA alternativos ou a modificação de roles é um indicador de Account Takeover (ATO) pós-compromisso. Correlacionar com o componente de modificação de objetos AD ([[dc0066-active-directory-object-modification]]) fornece visibilidade adicional sobre alterações a nível de diretório, especialmente para mudanças em atributos LDAP não capturados diretamente pelo Event ID 4738. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4738 | Conta de usuário modificada | Security.evtx | | Windows | 4781 | Nome de conta alterado | Security.evtx | | Windows | 4740 | Conta bloqueada | Security.evtx | | Windows | 4767 | Conta desbloqueada | Security.evtx | | Windows (AD) | 5136 | Atributo de objeto AD modificado | Security.evtx | | Azure AD | AuditLogs | Modificação de usuário (atributos, roles, MFA) | Azure Monitor | | AWS IAM | UpdateUser / AttachUserPolicy | Modificação de usuário IAM | CloudTrail | | Linux | — | Modificação via `usermod` ou `passwd` | /var/log/auth.log | ## Queries de Detecção ### KQL — Azure Sentinel: Adição de método de autenticação fora do horário comercial ```kql AuditLogs | where TimeGenerated > ago(24h) | where OperationName has "Updaté user" or OperationName has "Updaté Authentication methods" | extend Hour = hourofday(TimeGenerated) | where Hour < 7 or Hour > 20 | extend Actor = tostring(InitiatedBy.user.userPrincipalName) | extend TargetUser = tostring(TargetResources[0].userPrincipalName) | where Actor != TargetUser | project TimeGenerated, Actor, TargetUser, OperationName, Result | order by TimeGenerated desc ``` ### SPL — Splunk: Elevação de privilégio via modificação de grupo Admin ```spl index=wineventlog EventCode=4728 OR EventCode=4732 | eval group_name=mvindex(Group_Name, 0) | search group_name=*Admin* OR group_name=*Domain Admins* OR group_name=*Enterprise Admins* | stats count by SubjectUserName, Member_Name, group_name, ComputerName | table SubjectUserName, Member_Name, group_name, ComputerName, count | sort -count ``` ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098-account-manipulation]] — Modificação de contas para manter acesso ou elevar privilégios - [[t1078-valid-accounts|T1078-valid-accounts]] — Uso de contas modificadas para acesso persistente com credenciais legítimas - [[t1484-domain-or-tenant-policy-modification]] — Alteração de políticas de domínio que afetam atributos de contas - [[t1556-modify-authentication-process|T1556-modify-authentication-process]] — Modificação de métodos de autenticação para capturar credenciais ou permitir bypass ## Contexto LATAM > [!globe] Relevância Regional > No Brasil, a modificação de contas de serviço para adicionar SPNs e executar Kerberoasting é uma técnica documentada em ataques contra empresas do setor financeiro e energia. Grupos APT com foco em LATAM — como [[g0007-apt28]] e operadores de ransomware — utilizam modificação de contas AD como vetor de persistência silenciosa. A maioria dos SIEMs brasileiros monitora Event ID 4738, mas a correlação com 5136 (mudanças de atributo LDAP) ainda é pouco comum. ## Referências - [MITRE ATT&CK — DC0010: User Account Modification](https://attack.mitre.org/datasources/DS0002/#User%20Account%20Modification) - [[ds0002-user-account|DS0002 — User Account]] - [[t1098-account-manipulation|T1098-account-manipulation]] - [[t1078-valid-accounts|T1078-valid-accounts]] - [[_data-sources]] - [[_detections]]