det0114-behavioral-detection-of-local-group-enumeration-across-os-platforms

# DET0114 — Behavioral Detection of Local Group Enumeration Across OS Platforms ## Descrição Esta estratégia detecta enumeração de grupos locais em múltiplas plataformas como atividade de reconhecimento para escalada de privilégio e movimentação lateral. Adversários enumeram grupos locais para identificar membros de grupos privilegiados (`Administrators`, `Remote Desktop Users`, `Backup Operators`, `sudoers`), mapear a superfície de ataque local, e planejar técnicas de escalada de privilégio adequadas para o ambiente. No Windows, os métodos incluem: `net localgroup`, `Get-LocalGroup`, `Get-LocalGroupMember`, e API calls `NetLocalGroupEnum`/`NetLocalGroupGetMembers`. No Linux/macOS: leitura de `/etc/group`, comandos `getent group`, `groups`, `id`, e LDAP queries para grupos locais. A frequência e sequência dessas chamadas — especialmente se executadas por processos não-interativos — é o discriminador principal de atividade maliciosa. A detecção por cadeia comportamental é mais eficaz: enumeração de grupos seguida de tentativas de escalada (sudo abuse, token impersonation) ou movimentação lateral para hosts cujos usuários foram identificados. Correlacionar com eventos de logon recente do mesmo host aumenta a fidelidade. Quase todos os frameworks de post-exploitation ([[s0154-cobalt-strike]], [[metasploit]], [[s0633-sliver]]) incluem módulos de local group enumeration como parte do reconhecimento padrão pós-comprometimento. ## Indicadores de Detecção - `net localgroup Administrators`, `net localgroup "Remote Desktop Users"` executados por usuário sem role de helpdesk - `Get-LocalGroupMember` PowerShell ou `NetLocalGroupGetMembers` por processos não-administrativos - Leitura de `/etc/group` por processo não-shell interativo ou ferramenta de monitoramento legítima - Múltiplas chamadas de enumeração de grupo em sequência rápida de mesmo processo (<10s entre cada) - `id`, `groups`, `getent group` executados por processos em background (daemons, cron jobs) de forma atípica - APIs `NetLocalGroupEnum` chamadas em loop sobre múltiplos hosts remotos via conexão de rede ## Técnicas Relacionadas - [[t1069001-permission-groups-discovery-local-groups]] — Técnica principal - [[t1069-permission-groups-discovery]] — Categoria pai - [[t1069002-permission-groups-discovery-domain-groups]] — Domain groups como técnica relacionada - [[t1087001-account-discovery-local-account]] — Enumeração de usuários locais correlacionada - [[t1548-abuse-elevation-control-mechanism]] — Escalada após identificação de grupos ## Analytics Relacionadas - [[an0317-analytic-0317|AN0317 — Analytic 0317]] - [[an0318-analytic-0318|AN0318 — Analytic 0318]] - [[an0319-analytic-0319|AN0319 — Analytic 0319]] --- *Fonte: [MITRE ATT&CK — DET0114](https://attack.mitre.org/detectionstrategies/DET0114)*