det0447-t1136001-detection-strategy-local-account-creation-across-platforms

# DET0447 — T1136.001 Detection Strategy - Local Account Creation Across Platforms ## Descrição A criação de contas locais é uma técnica de persistência utilizada por adversários para garantir acesso contínuo a sistemas comprometidos, mesmo após a troca de senhas de contas existentes ou desconexão de domínio. Contas locais criadas por atacantes podem ser configuradas para pertencer ao grupo de Administradores Locais, garantindo privilégios elevados sem depender de autenticação de domínio. No Windows, a criação de contas locais é realizada via `net user /add`, `New-LocalUser` (PowerShell) ou diretamente pela API SAM. Em Linux, ferramentas como `useradd`, `adduser` ou manipulação direta de `/etc/passwd` são utilizadas. Em macOS, `dscl` e `sysadminctl` permitem a criação de contas. Adversários frequentemente criam contas com nomes que imitam contas de sistema ou serviço para reduzir a visibilidade. A estratégia de detecção cobre múltiplas plataformas: no Windows, eventos 4720 (conta criada) e 4732 (adicionado a grupo privilegiado); no Linux, logs do `useradd` e modificações em `/etc/passwd`; no macOS, logs do Directory Service. A correlação com ausência de tickets de criação de conta aprovados em sistemas ITSM aumenta a fidelidade dos alertas. ## Indicadores de Detecção - Evento Windows 4720 (conta de usuário local criada) fora de processo de provisionamento normal - Evento 4732 (membro adicionado a grupo privilegiado) imediatamente após criação de nova conta - Execução de `net user /add` ou `New-LocalUser` por processo não administrativo ou fora de horário comercial - Modificação de `/etc/passwd` ou `/etc/group` por processo que não sejá `useradd`/`usermod` - Conta criada com nome que imita contas de sistema (ex: `svchost`, `admin_`, `support2`) - No macOS, `dscl . creaté /Users/` executado por processo não pertencente a fluxo de gestão de usuários ## Técnicas Relacionadas - [[T1136001-local-account|T1136.001 — Local Account]] - [[t1136-create-account|T1136 — Create Account]] - [[T1078003-local-accounts|T1078.003 — Local Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[T1547001-registry-run-keys|T1547.001 — Registry Run Keys / Startup Folder]] - [[T1053005-scheduled-task|T1053.005 — Scheduled Task]] ## Analytics Relacionadas - [[an1235-analytic-1235|AN1235 — Analytic 1235]] - [[an1236-analytic-1236|AN1236 — Analytic 1236]] - [[an1237-analytic-1237|AN1237 — Analytic 1237]] - [[an1238-analytic-1238|AN1238 — Analytic 1238]] - [[an1239-analytic-1239|AN1239 — Analytic 1239]] - [[an1240-analytic-1240|AN1240 — Analytic 1240]] --- *Fonte: [MITRE ATT&CK — DET0447](https://attack.mitre.org/detectionstrategies/DET0447)*