det0303-local-account-enumeration-across-host-platforms

# DET0303 — Local Account Enumeration Across Host Platforms ## Descrição Esta estratégia detecta a enumeração de contas locais em sistemas Windows, Linux e macOS, uma etapa de descoberta onde adversários mapeiam usuários locais para identificar contas privilegiadas, contas de serviço ou contas inativas que podem ser exploradas para persistência ou escalação de privilégio. A enumeração de contas é frequentemente uma das primeiras ações pós-comprometimento antes do movimento lateral. No Windows, os indicadores incluem execução de `net user`, `net localgroup administrators`, `Get-LocalUser` (PowerShell), consultas WMI a `Win32_UserAccount`, e enumeração via API `NetUserEnum`. No Linux, acesso a `/etc/passwd`, `/etc/shadow` (requer root), `cat /etc/passwd`, `getent passwd` e comandos `id`, `who`, `w`. No macOS, `dscl . list /Users` e `id -a` são os equivalentes. A enumeração em burst (múltiplas consultas de conta em curto período) por processo não interativo ou de forma automatizada é o sinal de maior fidelidade. Ferramentas de pós-exploração como [[s0521-bloodhound|BloodHound]], [[PowerView]] e [[mimikatz|Mimikatz]] incluem módulos de enumeração de contas locais que se encaixam neste padrão. A correlação com autenticação recente e ausência de justificativa operacional aumenta a confiança do alerta. ## Indicadores de Detecção - `net user` ou `net localgroup` executado por processo filho de shell não interativo - `Get-LocalUser` ou `Get-LocalGroupMember` em PowerShell sem contexto de administração documentado - Leitura de `/etc/passwd` ou `/etc/shadow` por processo não pertencente ao sistema de autenticação - Múltiplas consultas `Win32_UserAccount` via WMI em curto período por processo não administrativo - `dscl . list /Users` no macOS executado por processo com parent suspeito - `id`, `whoami`, `groups` executados em sequência rápida por sessão de shell interativo recém-criado ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1136-create-account|T1136 — Create Account]] ## Analytics Relacionadas - [[an0846-analytic-0846|AN0846 — Analytic 0846]] - [[an0847-analytic-0847|AN0847 — Analytic 0847]] - [[an0848-analytic-0848|AN0848 — Analytic 0848]] - [[an0849-analytic-0849|AN0849 — Analytic 0849]] --- *Fonte: [MITRE ATT&CK — DET0303](https://attack.mitre.org/detectionstrategies/DET0303)*