det0465-detection-of-default-account-abuse-across-platforms

# DET0465 — Detection of Default Account Abuse Across Platforms ## Descrição Contas padrão (default accounts) são credenciais pré-configuradas em sistemas, dispositivos de rede, aplicações e plataformas cloud que frequentemente permanecem ativas com senhas de fábrica em ambientes de produção. Adversários exploram essas contas em varreduras automatizadas e em ataques direcionados, sabendo que uma fração significativa de ambientes corporativos não desabilita ou altera credenciais padrão em todos os ativos. O problema é transversal a múltiplas plataformas: roteadores e switches com credenciais `admin/admin`, sistemas de câmera IP com senhas padrão conhecidas, servidores de banco de dados com usuário `sa` sem senha, instâncias cloud com chaves de acesso padrão, e aplicações web com usuário `admin/password`. Botnets como Mirai foram construídas explorando credenciais padrão de dispositivos IoT em escala massiva. A detecção multi-plataforma requer manter uma base de conhecimento de credenciais padrão por tipo de dispositivo/aplicação, correlacionar autenticações bem-sucedidas com essa lista, e identificar logins bem-sucedidos com nomes de usuário característicos de contas padrão (admin, root, guest, administrator, service) a partir de IPs externos ou incomuns. ## Indicadores de Detecção - Autenticação bem-sucedida com nomes de usuário padrão conhecidos (`admin`, `root`, `guest`, `sa`, `operator`) de IP externo - Login em sistema recém-implantado ou recém-conectado à rede com credencial de conta padrão - Múltiplos sistemas acessados na mesma sessão usando o mesmo par de credenciais padrão (indicando varredura) - Acesso com conta padrão a dispositivos de rede (switches, roteadores, firewalls) de estação não-administrativa - Tentativa de login com lista de credenciais padrão conhecidas (Shodan default credential lists) via ferramenta automatizada - Conta padrão que deveria estar desabilitada (ex: `guest` no Windows) utilizada com sucesso ## Técnicas Relacionadas - [[T1078001-default-accounts|T1078.001 — Default Accounts]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an1283-analytic-1283|AN1283 — Analytic 1283]] - [[an1284-analytic-1284|AN1284 — Analytic 1284]] - [[an1285-analytic-1285|AN1285 — Analytic 1285]] - [[an1286-analytic-1286|AN1286 — Analytic 1286]] - [[an1287-analytic-1287|AN1287 — Analytic 1287]] --- *Fonte: [MITRE ATT&CK — DET0465](https://attack.mitre.org/detectionstrategies/DET0465)*