det0353-detection-strategy-for-hidden-user-accounts

# DET0353 — Detection Strategy for Hidden User Accounts ## Descrição Esta estratégia detecta a criação de contas de usuário ocultas — contas que são deliberadamente configuradas para não aparecer em telas de login, listagens de usuário padrão ou interfaces de gerenciamento — como mecanismo de persistência furtiva. A técnica [[T1564.002-hidden-users]] permite que adversários mantenham acesso a um sistema com uma conta backdoor que não chama aténção durante análise superficial. Em macOS, contas com UID < 500 e chave `IsHidden=1` em `/Library/Preferences/com.apple.loginwindow.plist` ficam ocultas da tela de login. Em Windows, contas com `

ao final do nome não aparecem na tela de boas-vindas. Em Linux, usuários com shell `/bin/false` ou `/sbin/nologin` combinados com UID baixo são suspeitos quando criados após a instalação do sistema. Grupos APT que comprometem sistemas para espionagem de longo prazo frequentemente criam contas ocultas como fallback de acesso. Em LATAM, servidores Linux comprometidos por grupos de crime organizado frequentemente têm contas de sistema ocultas para manutenção de acesso persistente. ## Indicadores de Detecção - Conta de usuário criada com nome terminando em `

no Windows (oculta da tela de login) - Chave `IsHidden=1` adicionada ao plist de login do macOS para conta existente ou nova - UID abaixo de 1000 (Linux) ou 500 (macOS) para conta criada após a instalação inicial do sistema - Conta local criada sem correspondência a processo de onboarding (sem ticket, fora do horário normal) - Conta com grupo administrativo mas não visível em `net user` ou `Get-LocalUser` - Modificação de `AllowList` ou `HideList` em configurações de gerenciamento de usuário do SO ## Técnicas Relacionadas - [[T1564.002-hidden-users]] — técnica primária - [[t1564-hide-artifacts|T1564-hide-artifacts]] — categoria pai de ocultação de artefatos - [[t1136-create-account|T1136-creaté-account]] — criação da conta que depois é ocultada - [[t1078-valid-accounts|T1078-valid-accounts]] — uso da conta oculta para acesso legítimo - [[t1098-account-manipulation|T1098-account-manipulation]] — manipulação de conta para torná-la oculta ## Analytics Relacionadas - [[an1001-analytic-1001|AN1001 — Analytic 1001]] - [[an1002-analytic-1002|AN1002 — Analytic 1002]] - [[an1003-analytic-1003|AN1003 — Analytic 1003]] --- *Fonte: [MITRE ATT&CK — DET0353](https://attack.mitre.org/detectionstrategies/DET0353)*