det0120-account-access-removal-via-multi-platform-audit-correlation

# DET0120 — Account Access Removal via Multi-Platform Audit Correlation ## Descrição Esta estratégia detecta remoção de acesso a contas como tática de impacto ou sabotagem — adversários bloqueiam contas, alteram senhas, revogam permissões ou excluem contas de usuários legítimos para causar disrupção operacional. Esta técnica é frequentemente utilizada em ransomware de dupla extorsão (além de criptografar dados, bloqueiam contas) e em ataques destrutivos patrocinados por estado como preparação para operação de impacto. A correlação multi-plataforma é necessária pois ambientes modernos combinam AD on-premises, Azure AD, AWS IAM, Google Workspace e sistemas Linux com PAM. Uma remoção de acesso coordenada pode afetar todas essas plataformas simultaneamente. Eventos relevantes incluem: AD Event 4725 (conta desabilitada), 4726 (conta excluída), 4740 (conta bloqueada), Azure AD `Disable account`, AWS IAM `DeleteUser`/`AttachUserPolicy` revogando permissões. A detecção por volume e velocidade é eficaz: remoção de acesso de múltiplas contas em curto período (>5 contas em <5 minutos) por um único ator é anômalo em qualquer ambiente. A estratégia deve correlacionar atividade de remoção de acesso com outros indicadores de ataque em andamento — se ocorrer durante um incidente de ransomware ou exfiltração, a fidelidade do alerta aumenta dramaticamente. Grupos como [[g0034-sandworm]] e [[g0032-lazarus-group]] utilizam account access removal como component de operações destrutivas. ## Indicadores de Detecção - Event ID 4726 (conta AD excluída) ou 4725 (conta desabilitada) para múltiplas contas em <5 minutos - Senha de conta de serviço crítica alterada (Event 4723/4724) fora de rotina de rotação documentada - Revogação de permissões IAM em múltiplas contas AWS/Azure simultaneamente por ator único - Bloqueio em massa de contas (Event 4740) sem tentativas de login anteriores (bloqueio intencional via `net user /active:no`) - Exclusão de grupos AD críticos (`Domain Admins`, `Enterprise Admins`) com membros associados - Alteração de senha de conta de administrador local em múltiplos hosts via GPO não autorizada ## Técnicas Relacionadas - [[t1531-account-access-removal]] — Técnica principal - [[t1485-data-destruction]] — Destruição de dados como tática de impacto relacionada - [[t1489-service-stop]] — Parada de serviços como tática de impacto combinada - [[t1078-valid-accounts]] — Contas comprometidas usadas para executar a remoção - [[t1098-account-manipulation]] — Manipulação de contas como técnica relacionada ## Analytics Relacionadas - [[an0334-analytic-0334|AN0334 — Analytic 0334]] - [[an0335-analytic-0335|AN0335 — Analytic 0335]] - [[an0336-analytic-0336|AN0336 — Analytic 0336]] - [[an0337-analytic-0337|AN0337 — Analytic 0337]] - [[an0338-analytic-0338|AN0338 — Analytic 0338]] - [[an0339-analytic-0339|AN0339 — Analytic 0339]] --- *Fonte: [MITRE ATT&CK — DET0120](https://attack.mitre.org/detectionstrategies/DET0120)*