det0407-detection-of-local-account-abuse-for-initial-access-and-persistence

# DET0407 — Detection of Local Account Abuse for Initial Access and Persistence ## Descrição Contas locais em sistemas Windows, Linux e macOS são frequentemente alvos de abuso por adversários que buscam acesso inicial via credenciais comprometidas ou persistência através da criação de backdoor accounts. Diferentemente de contas de domínio, as contas locais têm menor visibilidade em soluções de monitoramento centralizadas, tornando-se vetores atrativos para manutenção de acesso de longo prazo. A técnica abrange criação não autorizada de contas locais, reativação de contas desabilitadas (como a conta `Administrator` padrão do Windows) e adição de contas locais a grupos privilegiados. Em ambientes Linux, a criação de usuários com UID 0 ou a adição no arquivo `/etc/sudoers` são indicadores equivalentes. O abuso da conta `Guest` no Windows para contornar políticas de senha também é documentado. Operações de ransomware como [[lockbit]] e grupos de acesso inicial frequentemente criam contas locais ocultas (com nomes que mimetizam contas do sistema) para garantir re-entrada após detecção parcial. A correlação entre criação de conta local e eventos subsequentes de login remoto (RDP, SSH) a partir de IPs externos é um indicador crítico de comprometimento ativo. ## Indicadores de Detecção - Event ID 4720 (conta criada) ou 4722 (conta habilitada) fora de janelas administrativas aprovadas - Criação de usuário local em horário fora do padrão de atividade de administradores - Adição de conta local ao grupo `Administrators` ou `Remote Desktop Users` (Event ID 4732) - Login bem-sucedido com conta local seguido de escalada de privilégios em curto intervalo - Contas locais com nomes que imitam contas do sistema (ex.: `svc_backup_`, `_admin_`) criadas por processos não administrativos ## Técnicas Relacionadas - [[T1078003-local-accounts|T1078.003 — Local Accounts]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1136001-local-account|T1136.001 — Local Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[T1021001-remote-desktop-protocol|T1021.001 — Remote Desktop Protocol]] ## Analytics Relacionadas - [[an1137-analytic-1137|AN1137 — Analytic 1137]] - [[an1138-analytic-1138|AN1138 — Analytic 1138]] - [[an1139-analytic-1139|AN1139 — Analytic 1139]] --- *Fonte: [MITRE ATT&CK — DET0407](https://attack.mitre.org/detectionstrategies/DET0407)*