det0096-account-manipulation-behavior-chain-detection

# DET0096 — Account Manipulation Behavior Chain Detection ## Descrição Esta estratégia detecta cadeias de comportamento associadas à manipulação de contas como forma de persistência e escalada de privilégios. As ações típicas incluem: adicionar contas a grupos privilegiados, modificar permissões de conta existente, habilitar contas desabilitadas, alterar credenciais de service accounts, e criar backdoor accounts. A detecção por cadeia comportamental é mais eficaz que alertas isolados, pois cada ação individual pode ter justificativa legítima. A telemetria principal engloba: Windows Security Events 4720 (conta criada), 4722 (conta habilitada), 4728/4732/4756 (membro adicionado a grupo de segurança), 4738 (conta alterada), e 4825 (RDP negado por restrições). No Active Directory, eventos de modificação de atributos sensíveis como `adminCount`, `userAccountControl` e `msDS-AllowedToDelegateTo` são críticos. O Azure AD Audit Log cobre cenários cloud com eventos `Add member to role` e `Reset password`. A correlação temporal é essencial: a sequência criação de conta → adição a grupo privilegiado → logon de rede em menos de 5 minutos é altamente indicativa de atividade maliciosa. Grupos como [[g0016-apt29]], [[g0016-apt29]] e atores de BEC frequentemente criam contas backdoor em domínios comprometidos para manter acesso persistente mesmo após descoberta do vetor inicial. ## Indicadores de Detecção - Criação de conta (4720) seguida de adição a grupo privilegiado (4728) pelo mesmo ator em <5 minutos - Conta habilitada (4722) que estava desabilitada há >30 dias por processo automatizado - Modificação de atributo `adminCount=1` em conta não administrativa via LDAP - Adição de conta a `Domain Admins` ou `Enterprise Admins` fora de processo de change management - Service account com senha alterada (4723/4724) por conta humana fora de rotina de rotação - Criação de conta com nome similar a contas legítimas de sistema (typosquatting de `svc_backup` → `svc_backupp`) ## Técnicas Relacionadas - [[t1098-account-manipulation]] — Técnica principal - [[t1136-create-account]] — Criação de contas backdoor - [[t1078-valid-accounts]] — Uso de contas manipuladas para acesso - [[t1484001-domain-policy-modification-group-policy]] — Modificação de política relacionada - [[t1003-os-credential-dumping]] — Frequentemente precede manipulação de conta ## Analytics Relacionadas - [[an0265-analytic-0265|AN0265 — Analytic 0265]] - [[an0266-analytic-0266|AN0266 — Analytic 0266]] - [[an0267-analytic-0267|AN0267 — Analytic 0267]] - [[an0268-analytic-0268|AN0268 — Analytic 0268]] - [[an0269-analytic-0269|AN0269 — Analytic 0269]] - [[an0270-analytic-0270|AN0270 — Analytic 0270]] --- *Fonte: [MITRE ATT&CK — DET0096](https://attack.mitre.org/detectionstrategies/DET0096)*