det0383-detection-strategy-for-masquerading-via-account-name-similarity

# DET0383 — Detection Strategy for Masquerading via Account Name Similarity ## Descrição O mascaramento por similaridade de nome de conta é uma técnica onde adversários criam contas com nomes visualmente similares a contas legítimas privilegiadas, explorando a dificuldade humana de distinguir caracteres semelhantes em interfaces rápidas de monitoramento. Variações incluem: substituição de letras por caracteres únicode similares (homoglyphs: `rn` vs `m`, `0` vs `O`, `1` vs `l`), adição de espaços ou underscores imperceptíveis, troca de maiúsculas/minúsculas, e prefixo/sufixo de caractere único. Uma conta `svc_admin_` (com espaço final) pode ser confundida com `svc_admin` em logs e alertas. Essa técnica é frequentemente combinada com criação de contas falsas (T1136) para criar identidades que parecem legítimas em revisões manuais de logs. Adversários como [[g0016-apt29|APT29]] e [[g0046-fin7|FIN7]] documentadamente criaram contas fantasmas com nomes similares a contas de serviço legítimas para persistência de longo prazo, dificultando a detecção em auditorias de segurança periódicas. Em Active Directory, contas similares a `Domain Admins` (ex: `Domain Adm1ns`) podem passar despercebidas por meses. A estratégia de detecção aplica algoritmos de similaridade de strings (Levenshtein distance, fuzzy matching) ao inventário de contas do AD/sistemas, alerta sobre contas recém-criadas com alta similaridade a contas privilegiadas existentes, e verifica uso de homoglyphs únicode em nomes de conta. ## Indicadores de Detecção - Conta criada com distância de edição Levenshtein ≤ 2 em relação a contas privilegiadas existentes - Nome de conta contendo caracteres únicode fora do conjunto ASCII padrão - Conta com prefixo ou sufixo idêntico a conta de serviço existente mais um caractere adicional - Criação de conta com nome similar a `Administrator`, `Domain Admins`, ou contas de serviço críticas - Event ID 4720 (criação de conta) com nome que passa em checagem de fuzzy match contra contas privilegiadas - Conta com nome contendo homoglyphs: `0`/`O`, `1`/`l`/`I`, `rn`/`m`, `vv`/`w` ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[T1087002-domain-account|T1087.002 — Domain Account]] ## Analytics Relacionadas - [[an1077-analytic-1077|AN1077 — Analytic 1077]] - [[an1078-analytic-1078|AN1078 — Analytic 1078]] - [[an1079-analytic-1079|AN1079 — Analytic 1079]] - [[an1080-analytic-1080|AN1080 — Analytic 1080]] --- *Fonte: [MITRE ATT&CK — DET0383](https://attack.mitre.org/detectionstrategies/DET0383)*