det0583-detection-strategy-for-t1136-create-account-across-platforms

# DET0583 — Detection Strategy for T1136 - Create Account across platforms ## Descrição A criação de contas não autorizadas ([[t1136-create-account|T1136]]) é uma técnica de persistência e preparação utilizada por adversários após comprometimento inicial para garantir acesso continuado ao ambiente mesmo que as credenciais originais sejam revogadas. A criação pode ocorrer em múltiplas plataformas: contas locais no Windows (`net user /add`), contas de domínio (`net user /add /domain`), usuários Linux/macOS (`useradd`, `adduser`), contas em ambientes cloud (AWS IAM, Azure AD, GCP IAM) e contas de serviço em plataformas SaaS. Grupos de ransomware como [[conti]] e [[blackcat]] rotineiramente criam contas de backdoor antes de executar o payload de criptografia. Em ataques de espionagem, as contas podem ser criadas com nomes que imitam contas de serviço legítimas (ex.: `svc_backup`, `admin_temp`) para passar despercebidas em auditorias superficiais. Em ambientes cloud, a criação de usuário IAM com `AdministratorAccess` por role não-administrativa é um sinal crítico de comprometimento. A detecção cobre todas as plataformas e deve ter fidelidade diferenciada por contexto: uma conta de domínio criada fora de horário comercial ou por processo não-administrativo é alta prioridade. A correlação com eventos de logon subsequentes da conta recém-criada (especialmente em sistemas de alto valor) confirma uso ativo do backdoor. ## Indicadores de Detecção - Event ID 4720 (Windows): criação de conta de usuário fora de horário de trabalho ou por processo não-administrativo - `net user /add` ou `useradd` executado por processo filho de script ou C2 - Criação de usuário IAM AWS com política `AdministratorAccess` por role de instância - `az ad user creaté` em Azure por service principal sem permissão de gestão de identidade - Conta local criada em servidor de produção sem ticket de mudança correspondente - Novo usuário adicionado ao grupo `wheel`, `sudo` ou `Domain Admins` logo após criação ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[T1136.001-create-account-local-account|T1136.001 — Local Account]] - [[T1136.002-create-account-domain-account|T1136.002 — Domain Account]] - [[T1136.003-create-account-cloud-account|T1136.003 — Cloud Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an1604-analytic-1604|AN1604 — Analytic 1604]] - [[an1605-analytic-1605|AN1605 — Analytic 1605]] - [[an1606-analytic-1606|AN1606 — Analytic 1606]] - [[an1607-analytic-1607|AN1607 — Analytic 1607]] - [[an1608-analytic-1608|AN1608 — Analytic 1608]] --- *Fonte: [MITRE ATT&CK — DET0583](https://attack.mitre.org/detectionstrategies/DET0583)*