det0093-behavioral-detection-of-user-discovery-via-local-and-remote-enumeration

# DET0093 — Behavioral Detection of User Discovery via Local and Remote Enumeration ## Descrição Esta estratégia detecta enumeração de usuários locais e remotos como fase de reconhecimento interno pós-comprometimento. Adversários enumeram contas para identificar alvos de alto valor (administradores de domínio, service accounts), mapear a superfície de ataque e planejar movimentação lateral. As técnicas incluem: `net user`, `net localgroup Administrators`, `Get-LocalUser`, LDAP queries para AD users, e API calls como `NetUserEnum`. A telemetria central engloba: logs de processo com argumentos de linha de comando específicos (`net user /domain`, `dsquery user`, `Get-ADUser -Filter *`), eventos de autenticação LDAP no Domain Controller (Event ID 1644 do AD com queries de alta volumetria), e chamadas às APIs `NetUserEnum`/`NetQueryDisplayInformation` por processos fora de ferramentas de gerenciamento legítimas. A frequência e amplitude da enumeração (número de queries em curto período) é o discriminador principal. Contexto adicional: a enumeração normalmente ocorre logo após o comprometimento inicial e antes de ataques como Pass-the-Hash ou Kerberoasting. Correlacionar com eventos de logon recente do mesmo host aumenta a fidelidade. Grupos como [[g0016-apt29]], [[g0046-fin7]] e quase todos os operadores de ransomware realizam esta etapa sistematicamente como parte do playbook de intrusão. ## Indicadores de Detecção - Execução de `net user`, `net localgroup` ou `net group /domain` em sucessão rápida (>5 execuções em <60s) - Queries LDAP para `(objectClass=user)` ou `(objectClass=person)` com escopo `subtree` de hosts não-AD - `Get-ADUser -Filter *` ou `Get-LocalUser` executados por usuários sem papel de helpdesk/admin - Chamadas à API `NetUserEnum` ou `NetQueryDisplayInformation` por processos não-administrativos - Enumeração de grupos privilegiados específicos: `Domain Admins`, `Enterprise Admins`, `Backup Operators` - Varredura de usuários em múltiplos hosts em sequência rápida (indicativo de script automatizado) ## Técnicas Relacionadas - [[t1087001-account-discovery-local-account]] — Enumeração de contas locais - [[t1087002-account-discovery-domain-account]] — Enumeração de contas de domínio - [[t1087-account-discovery]] — Categoria pai - [[t1069-permission-groups-discovery]] — Discovery de grupos de permissão correlacionado - [[t1558003-kerberoasting]] — Técnica frequentemente executada após enumeração de usuários ## Analytics Relacionadas - [[an0254-analytic-0254|AN0254 — Analytic 0254]] - [[an0255-analytic-0255|AN0255 — Analytic 0255]] - [[an0256-analytic-0256|AN0256 — Analytic 0256]] - [[an0257-analytic-0257|AN0257 — Analytic 0257]] --- *Fonte: [MITRE ATT&CK — DET0093](https://attack.mitre.org/detectionstrategies/DET0093)*