det0560-detection-of-valid-account-abuse-across-platforms

# DET0560 — Detection of Valid Account Abuse Across Platforms ## Descrição O abuso de contas válidas ([[t1078-valid-accounts|T1078]]) é uma das técnicas mais prevalentes em ataques sofisticados, pois permite que o adversário opere dentro do "ruído normal" da organização, dificultando detecção baseada em assinaturas. Credenciais são obtidas via phishing, credential stuffing, compra em fóruns underground ou roubo de tokens de sessão. Grupos como [[g0016-apt29]] e [[g0046-fin7]] são reconhecidos pelo uso extensivo de contas legítimas comprometidas para movimentação lateral e persistência. Esta estratégia de detecção cobre Windows (Active Directory, RDP), Linux (SSH, sudo), macOS e ambientes cloud (AWS IAM, Azure AD, Google Workspace). A detecção baseia-se em anomalias de comportamento: logins de localização geográfica incomum (impossible travel), horários atípicos, acesso a recursos nunca acessados pelo usuário historicamente, e volume incomum de autenticações. A implementação requer baseline de comportamento por usuário (UBA/UEBA), integração com SIEM para correlação de eventos de autenticação e federação de identidade (SAML, OAuth), e alertas para uso de contas de serviço em sessões interativas. Em ambientes LATAM, é especialmente relevante monitorar acessos a sistemas financeiros e de pagamento via credenciais de colaboradores comprometidos. ## Indicadores de Detecção - Login bem-sucedido seguido de falha em múltiplos sistemas (credential spray) - Autenticação de conta de serviço em horário fora do padrão operacional - Acesso a recurso sensível nunca acessado pelo usuário nos últimos 90 dias - Impossible travel: dois logins bem-sucedidos de países distintos em intervalo < 2h - Uso de conta administrativa pessoal em operações em lote automatizadas - Evento 4648 (logon com credenciais explícitas) de processo não-interativo ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1078.002-valid-accounts-domain-accounts|T1078.002 — Domain Accounts]] - [[T1078.004-valid-accounts-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] ## Analytics Relacionadas - [[an1543-analytic-1543|AN1543 — Analytic 1543]] - [[an1544-analytic-1544|AN1544 — Analytic 1544]] - [[an1545-analytic-1545|AN1545 — Analytic 1545]] - [[an1546-analytic-1546|AN1546 — Analytic 1546]] - [[an1547-analytic-1547|AN1547 — Analytic 1547]] --- *Fonte: [MITRE ATT&CK — DET0560](https://attack.mitre.org/detectionstrategies/DET0560)*