det0310-suspicious-addition-to-local-or-domain-groups

# DET0310 — Suspicious Addition to Local or Domain Groups ## Descrição Esta estratégia detecta a adição suspeita de usuários ou contas de computador a grupos locais ou de domínio privilegiados — especialmente grupos como `Administrators`, `Domain Admins`, `Enterprise Admins` e `Remote Desktop Users` — como etapa de escalação de privilégios ou persistência. Adversários adicionam contas comprometidas ou contas criadas por eles a grupos privilegiados para garantir acesso persistente com permissões elevadas. Os indicadores incluem adição de conta ao grupo `Administrators` local (Event ID 4732), adição ao grupo `Domain Admins` (Event ID 4728), e adição a grupos de Remote Desktop Users (4732) por contas que normalmente não realizam estas operações. A temporalidade é crítica: adições fora do horário comercial, por contas de serviço, ou imediatamente após autenticação de conta nova são sinais de alta fidelidade. A correlação com criação recente da conta sendo adicionada aumenta ainda mais a confiança. [[g0007-apt28|APT28]], [[g0032-lazarus-group|Lazarus Group]] e operadores de ransomware frequentemente adicionam contas de backdoor a grupos de administradores locais em cada máquina comprometida para garantir re-acesso mesmo que credenciais de domínio sejam revogadas. A detecção deve ser integrada com processos de Identity Governance para correlação com mudanças autorizadas. ## Indicadores de Detecção - Event ID 4728: conta adicionada a grupo de segurança global (Domain Admins, Enterprise Admins) por conta não-helpdesk/TI - Event ID 4732: conta adicionada ao grupo `Administrators` local por processo não pertencente ao sistema de gerenciamento - Conta de serviço adicionada a grupo de administração interativa (Remote Desktop Users, Administrators) - Conta criada há < 24 horas sendo adicionada a grupo privilegiado - Adição a grupo privilegiado fora de janela de mudança aprovada (correlação com ITSM) - `net localgroup administrators /add` ou `Add-LocalGroupMember` executado por script não-GPO ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] ## Analytics Relacionadas - [[an0865-analytic-0865|AN0865 — Analytic 0865]] - [[an0866-analytic-0866|AN0866 — Analytic 0866]] - [[an0867-analytic-0867|AN0867 — Analytic 0867]] --- *Fonte: [MITRE ATT&CK — DET0310](https://attack.mitre.org/detectionstrategies/DET0310)*