dc0014-user-account-creation

# DC0014 — User Account Creation ## Descrição O componente **User Account Creation** registra o estabelecimento inicial de novas contas de usuário, serviço ou máquina em sistemas operacionais, ambientes de nuvem ou sistemas de gerenciamento de identidade. A criação não autorizada de contas é um mecanismo clássico de persistência — adversários estabelecem backdoors no ambiente criando contas que sobrevivem a rotações de senha e limpeza de malware. A técnica [[t1136-create-account|T1136-creaté-account]] abrange criação de contas locais, de domínio e em ambientes de nuvem. Adversários com acesso de administrador de domínio podem criar contas que mimetizam contas legítimas de serviço (com nomes como `svc-backup` ou `admin-temp`) para dificultar a detecção. Em ambientes cloud, a criação de usuários IAM ou Service Principals com permissões excessivas é um padrão de persistência recorrente em campanhas de comprometimento de infraestrutura. A detecção eficaz exige distinguir criação de conta legítima (processos de onboarding via RH/IAM) de criação maliciosa. Indicadores suspeitos incluem: criação fora do horário comercial, pelo mesmo agente que recentemente escalou privilégios, com nomes de contas padronizados (gerados automaticamente), ou com memberships imediatos em grupos privilegiados após a criação. A correlação com [[dc0010-user-account-modification]] (adição a grupos) e [[dc0002-user-account-authentication]] (uso imediato da conta criada) forma uma cadeia de detecção completa para persistência via criação de conta. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4720 | Conta de usuário criada | Security.evtx | | Windows (AD) | 4741 | Conta de computador criada | Security.evtx | | Windows (AD) | 5137 | Objeto de diretório criado | Security.evtx | | Azure AD | AuditLogs | Novo usuário criado (portal/API/provisionamento) | Azure Monitor | | AWS IAM | CreateUser | Criação de usuário IAM | CloudTrail | | Linux | — | Execução de `useradd` ou `adduser` | /var/log/auth.log | | Google Workspace | users.insert | Criação de novo usuário | Admin Activity Logs | ## Queries de Detecção ### KQL — Azure Sentinel: Conta criada e usada imediatamente (possível backdoor) ```kql let NewAccounts = AuditLogs | where TimeGenerated > ago(24h) | where OperationName == "Add user" | extend NewUserUPN = tostring(TargetResources[0].userPrincipalName) | extend CreatedBy = tostring(InitiatedBy.user.userPrincipalName) | project CreationTime = TimeGenerated, NewUserUPN, CreatedBy; NewAccounts | join kind=inner ( SigninLogs | where TimeGenerated > ago(24h) | project LoginTime = TimeGenerated, UserPrincipalName, IPAddress, Location ) on $left.NewUserUPN == $right.UserPrincipalName | where LoginTime > CreationTime | where datetime_diff('minute', LoginTime, CreationTime) < 30 | project CreationTime, LoginTime, NewUserUPN, CreatedBy, IPAddress, Location ``` ### SPL — Splunk: Criação de conta fora do horário comercial ```spl index=wineventlog EventCode=4720 | eval hour=strftime(_time, "%H") | where hour < 7 OR hour > 20 | stats count by SubjectUserName, Sam_Account_Name, ComputerName, hour | where NOT (SubjectUserName="*svc*" OR SubjectUserName="*provisioning*") | table SubjectUserName, Sam_Account_Name, ComputerName, hour, count | sort -count ``` ## Técnicas Relacionadas - [[t1136-create-account|T1136-creaté-account]] — Criação de contas locais, de domínio ou em nuvem para persistência - [[t1078-valid-accounts|T1078-valid-accounts]] — Contas criadas são usadas como identidades válidas para acesso furtivo - [[t1098-account-manipulation|T1098-account-manipulation]] — Frequentemente combinado: conta criada e imediatamente adicionada a grupos privilegiados ## Contexto LATAM > [!globe] Relevância Regional > A criação de contas de backdoor no Active Directory é documentada em ataques contra empresas brasileiras de médio e grande porte, especialmente durante campanhas de ransomware onde o adversário mantém acesso paralelo enquanto negocia o resgate. A detecção de Event ID 4720 fora do horário comercial ou por contas não pertencentes ao time de IAM deve ser tratada como alerta de alta prioridade em SOCs brasileiros. Ambientes AWS sem alertas para `CreateUser` no CloudTrail são especialmente vulneráveis. ## Referências - [MITRE ATT&CK — DC0014: User Account Creation](https://attack.mitre.org/datasources/DS0002/#User%20Account%20Creation) - [[ds0002-user-account|DS0002 — User Account]] - [[t1136-create-account|T1136-creaté-account]] - [[t1098-account-manipulation|T1098-account-manipulation]] - [[_data-sources]] - [[_detections]]