# DET0876 — Detection of Compromise Accounts ## Descrição A estratégia DET0876 aborda a detecção de comprometimento de contas existentes de usuários legítimos por adversários, em contraste com a criação de novas contas (DET0873). O comprometimento de contas legítimas é uma das técnicas mais eficazes de adversários por permitir que operem sob a identidade de usuários confiáveis, evitando controles baseados em reputação de conta nova e tornando a atribuição mais difícil. Métodos de comprometimento incluem credential stuffing com dados vazados de brechas públicas, phishing de credenciais, keylogging através de malware previamente instalado, ataques de força bruta contra senhas fracas, e compra de credenciais em mercados clandestinos. Grupos de ameaças sofisticados frequentemente utilizam contas comprometidas de fornecedores ou parceiros (terceiros) para acessar redes corporativas, explorando relações de confiança pré-estabelecidas. A detecção se baseia em análise de comportamento de conta (UEBA — User and Entity Behavior Analytics), monitoramento de logins impossíveis (autenticação de duas localizações geográficas em intervalo impossível de viagem), e correlação com feeds de inteligência sobre credenciais comprometidas de brechas públicas. ## Indicadores de Detecção - Login de conta corporativa a partir de país não habitual para o usuário sem viagem pré-comúnicada - Acesso simultâneo de conta a partir de múltiplos endereços IP geográficos distintos - Credenciais corporativas identificadas em dumps de brechas de dados públicas (Have I Been Pwned) - Volume anormal de recursos acessados por conta em curto período (anomalia de comportamento) - Autenticação bem-sucedida após múltiplas falhas em conta de usuário privilegiado - Conta acessando recursos fora do perfil histórico de uso (ex: analista acessando sistemas de RH) - Login de conta de serviço de sistema interativo fora de janela de manutenção programada ## Técnicas Relacionadas - [[t1586-compromise-accounts|T1586 — Compromise Accounts]] - [[T1586.001-social-media-accounts|T1586.001 — Social Media Accounts]] - [[T1586.002-email-accounts|T1586.002 — Email Accounts]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] ## Analytics Relacionadas - [[an2008-analytic-2008|AN2008 — Analytic 2008]] --- *Fonte: [MITRE ATT&CK — DET0876](https://attack.mitre.org/detectionstrategies/DET0876)*