det0587-enumeration-of-user-or-account-information-across-platforms

# DET0587 — Enumeration of User or Account Information Across Platforms ## Descrição A enumeração de usuários e informações de contas ([[t1087-account-discovery|T1087]]) é uma fase de descoberta executada por adversários após comprometimento inicial para mapear o ambiente de identidade da organização, identificar contas privilegiadas e planejar movimentação lateral. Comandos como `net user /domain`, `net localgroup administrators`, `Get-ADUser -Filter *`, `id`, `who`, `getent passwd` e equivalentes são utilizados em múltiplas plataformas para obter esse inventário. Em ambientes cloud, `aws iam list-users`, `az ad user list` e `gcloud iam service-accounts list` cumprem o mesmo propósito. A enumeração de contas privilegiadas é especialmente valiosa para o adversário: identificar membros do Domain Admins, Enterprise Admins, grupos de acesso a sistemas financeiros ou de infraestrutura crítica define os alvos de próximas etapas. Em ambientes LATAM, contas com nome de banco ou sistema de pagamento são alvos de enumeração específica por grupos de fraude financeira como [[mekotio]] e [[s0531-grandoreiro]]. A detecção multiplataforma requer baselines de comportamento por usuário e tipo de sistema: um desenvolvedor executando `net user /domain` uma vez é diferente de um script fazendo múltiplas enumerações de grupos e membros em sequência. Correlacionar enumeração de conta com logon recente de novo IP ou após alerta de phishing correlacionado aumenta significativamente a prioridade do alerta. ## Indicadores de Detecção - `net user /domain` ou `Get-ADUser -Filter *` executado por usuário não-TI ou processo de script - Enumeração de múltiplos grupos privilegiados em sequência (`Domain Admins`, `Enterprise Admins`, `Schema Admins`) - `aws iam list-users` por role de instância ou role de aplicação sem histórico dessa operação - Consulta LDAP filtrando todos os objetos `(&(objectClass=user)(adminCount=1))` por conta não-admin - `id` ou `getent passwd` em servidor Linux seguido de acesso a `/etc/sudoers` ou `/etc/passwd` - `az ad user list` por service principal sem política de gestão de identidade aprovada ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[T1087.001-account-discovery-local-account|T1087.001 — Local Account]] - [[T1087.002-account-discovery-domain-account|T1087.002 — Domain Account]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] ## Analytics Relacionadas - [[an1612-analytic-1612|AN1612 — Analytic 1612]] - [[an1613-analytic-1613|AN1613 — Analytic 1613]] - [[an1614-analytic-1614|AN1614 — Analytic 1614]] - [[an1615-analytic-1615|AN1615 — Analytic 1615]] - [[an1616-analytic-1616|AN1616 — Analytic 1616]] - [[an1617-analytic-1617|AN1617 — Analytic 1617]] - [[an1618-analytic-1618|AN1618 — Analytic 1618]] - [[an1619-analytic-1619|AN1619 — Analytic 1619]] --- *Fonte: [MITRE ATT&CK — DET0587](https://attack.mitre.org/detectionstrategies/DET0587)*