# DET0210 — Abuse of Domain Accounts ## Descrição Esta estratégia detecta o abuso de contas de domínio legítimas para movimento lateral, escalada de privilégio e acesso a recursos corporativos — mapeada para [[T1078.002 — Domain Accounts]]. Adversários que comprometem credenciais de domínio (via phishing, credential dumping, Pass-the-Hash/Ticket) movem-se lateralmente usando autenticação legítima, tornando a detecção baseada em identidade e comportamento mais efetiva do que detecção baseada em assinatura. A detecção correlaciona múltiplos sinais de abuso de conta de domínio: autenticação de conta de serviço em horário incomum, conta de domínio acessando workstations fora do padrão histórico, autenticação interativa de conta de serviço (contas de serviço não devem ter logon interativo), e uso de conta de domínio em múltiplos sistemas simultaneamente (pass-the-ticket). Logs de autenticação do Domain Controller (eventos 4624, 4625, 4648, 4768, 4769) são fontes primárias. Quatro analytics cobrem: logon interativo de conta de serviço, autenticação de conta de domínio de IP não-workstation, uso de conta em volume anômalo de hosts (> 5 hosts em 1 hora), e autenticação de conta desabilitada ou expirada com sucesso (indicando manipulação do AD). ## Indicadores de Detecção - Evento 4624 tipo 2 (logon interativo) para conta de serviço de domínio (`svc_*`, `srv_*`) - Conta de domínio autenticando em > 5 diferentes máquinas em < 60 minutos (movimento lateral) - Autenticação Kerberos (evento 4768) para conta de serviço fora do horário de trabalho (22h-6h) - Logon de conta de domínio de IP não pertencente ao range de workstations corporativas - Evento 4648 (logon com credenciais explícitas) usando conta diferente do usuário logado - Autenticação bem-sucedida com conta de usuário marcada como desabilitada no AD - Ticket Kerberos (TGT ou TGS) solicitado para conta com delegação irrestrita habilitada ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] ## Analytics Relacionadas - [[an0590-analytic-0590|AN0590 — Analytic 0590]] - [[an0591-analytic-0591|AN0591 — Analytic 0591]] - [[an0592-analytic-0592|AN0592 — Analytic 0592]] - [[an0593-analytic-0593|AN0593 — Analytic 0593]] --- *Fonte: [MITRE ATT&CK — DET0210](https://attack.mitre.org/detectionstrategies/DET0210)*