# T1036.010 - Masquerade Account Name ## Técnica Pai Sub-técnica de [[t1036-masquerading|T1036 - Masquerading]], que abrange um conjunto amplo de técnicas onde adversários disfarçam artefatos maliciosos - arquivos, processos, serviços ou contas - para parecerem legítimos e evitar detecção por analistas ou sistemas de segurança automatizados. ## Descrição Adversários podem criar novas contas cujos nomes se assemelham ou imitam contas legítimas já existentes no sistema ou no ambiente de identidade, tornando a conta maliciosa menos conspícua durante investigações e auditorias de segurança. Essa técnica é frequentemente empregada como parte do fluxo de [[t1136-create-account|criação de conta]], embora contas existentes também possam ser renomeadas em momento posterior para adotar nomenclatura que mimetize entidades legítimas. Os adversários buscam imitar categorias específicas de contas que naturalmente geram pouca suspeita: contas de serviço associadas a softwares corporativos conhecidos (como `svc_backup`, `sql_agent` ou `wsus_admin`), contas genéricas com nomes universalmente reconhecidos como operacionais (`admin`, `root`, `help`, `support`, `operator`) e contas que se assemelham visualmente a contas existentes por meio de caracteres similares, espaços, ou variações de capitalização. Em ambientes de nuvem e SaaS, essa técnica se estende para identidades de usuário, service principals, managed identities e contas de aplicações. É importante distinguir essa técnica de [[t1656-impersonation|T1656 - Impersonation]], que descreve a personificação de indivíduos específicos ou organizações confiáveis em contextos de engenharia social. T1036.010 foca específicamente na nomenclatura de contas de sistema e de usuário para evadir análise técnica de identidade, não engano humano direto. ## Como Funciona O mascaramento de nome de conta pode ser implementado em diferentes ambientes e camadas de identidade: **Ambientes on-premises (Windows/Linux/macOS):** - Criação de contas locais ou de domínio com nomes que imitam contas de serviço legítimas: `svc-backup` vs `svc_backup`, `SYSTEM` (maiúsculas) vs conta legítima de sistema - Adição de caracteres imperceptíveis: espaços ao final do nome, caracteres Únicode visualmente semelhantes a ASCII (homoglyphs), underscores vs hifens - Nomes genéricos que passam despercebidos: `helpdesk`, `admin2`, `sysadmin`, `backup_user` **Ambientes de nuvem (IaaS/SaaS/Office Suite):** - Criação de service principals no Azure AD/Entra ID com nomes que imitam aplicações legítimas: `Microsoft Graph API` vs `Microsoft Graph` legítimo - Contas de usuário com nomes similares a administradores existentes, explorando o fato de que listas de usuários longas dificultam inspeção visual - Managed identities ou contas IAM na AWS/GCP com políticas permissivas e nomes que sugerem uso legítimo de sistema **Sequência tática típica:** 1. [[t1087-account-discovery|Descoberta de contas]] para mapear nomenclatura existente no ambiente 2. Criação de conta com nome similar via [[t1136-create-account|T1136]] (local, domínio, ou nuvem) 3. Concessão de privilégios necessários à conta recém-criada 4. Uso da conta para acesso persistente, movimentação lateral ou exfiltração 5. Em alguns casos, [[t1531-account-access-removal|remoção da conta legítima original]] antes de criar a substituta com o mesmo nome ## Attack Flow ```mermaid graph TB A[Acesso inicial ao ambiente] --> B[Descoberta de contas<br/>T1087 - Account Discovery] B --> C[Mapeamento de nomenclatura<br/>de contas legítimas] C --> D{Estrategia de mascaramento} D --> E[Nome idêntico a conta<br/>de serviço legítima] D --> F[Nome genérico confiável<br/>admin / root / svc_backup] D --> G[Homoglyph ou variação<br/>visual imperceptível] E --> H[Criação da conta<br/>T1136 - Creaté Account] F --> H G --> H H --> I[Concessão de privilégios<br/>à conta mascarada] I --> J[Uso da conta para<br/>persistência e acesso] J --> K[Evasão de auditoria<br/>e revisão de identidade] K --> L[Movimentação lateral<br/>Exfiltração<br/>Coleta de dados] ``` ## Exemplos de Uso **Storm-1811:** Grupo de cibercrime rastreado pela Microsoft documentado criando contas em ambientes Microsoft 365 comprometidos com nomes que imitam administradores legítimos, dificultando resposta a incidentes. O [[g1046-storm-1811|Storm-1811]] é associado a operações de ransomware e extorsão, frequentemente usando mascaramento de identidade para manter acesso durante o período entre comprometimento inicial e deploy de ransomware. **Magic Hound (APT35):** Grupo iraniano [[g0059-magic-hound|Magic Hound]] utiliza criação de contas com nomes de serviço genéricos em campanhas de espionagem contra organizações governamentais, defesa e energia. O mascaramento de conta de serviço é parte da estratégia de persistência de longo prazo característica do grupo. **Dragonfly (Energetic Bear):** O grupo [[g0035-dragonfly|Dragonfly]], atribuído à Rússia e com foco em infraestrutura crítica de energia, utiliza contas com nomes similares a sistemas SCADA e ICS legítimos para se misturar ao tráfego normal de operação industrial, tornando a detecção especialmente difícil em ambientes OT. **APT3:** O grupo [[g0022-apt3|APT3]], associado a operações de espionagem chinesas, utilizou criação de contas administrativas com nomes genéricos em campanhas de comprometimento de redes corporativas, frequentemente combinando com o malware [[s0143-flame|Flame]] e com ferramentas como [[s0382-servhelper|ServHelper]] para estabelecer persistência. ## Detecção ```yaml title: Detecção - Mascaramento de Nome de Conta por Similaridade status: experimental logsource: category: iam product: windows detection: selection_new_account: EventID: - 4720 - 4741 selection_similar_names: TargetUserName|contains: - "admin" - "svc" - "service" - "backup" - "system" - "root" - "support" - "helpdesk" filter_known_accounts: TargetUserName|startswith: - "MSOL_" - "AAD_" - "HealthMailbox" condition: selection_new_account and selection_similar_names and not filter_known_accounts level: medium ``` > Complementar com análise de distância de Levenshtein entre nomes de contas novas e contas existentes no diretório - contas com distância ≤ 2 caracteres de uma conta privilegiada existente devem gerar alerta de alta prioridade. Em ambientes Azure AD/Entra ID, usar Microsoft Sentinel com a regra "New account with name similar to existing privileged account". ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1047 | [[m1047-audit\|M1047 - Audit]] | Revisar periodicamente todas as contas do ambiente - locais, de domínio e de nuvem - comparando contra baseline autorizada; automatizar detecção de contas não previstas no catálogo oficial com scripts de auditoria agendados | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Implementar processo formal de aprovação para criação de contas privilegiadas; usar grupos de segurança nomeados de forma padronizada e documentada para facilitar identificação de anomalias; aplicar princípio de mínimo privilégio para todas as contas de serviço | ## Contexto Brasil/LATAM O mascaramento de nome de conta é uma técnica de alta prevalência em incidentes de segurança no Brasil, especialmente em campanhas de ransomware e comprometimento de ambientes Microsoft 365 e Azure AD que afetam organizações dos setores financeiro, governamental e de saúde. Grupos como [[g1046-storm-1811|Storm-1811]] e outros operadores de ransomware-as-a-service (RaaS) têm como alvo frequente empresas brasileiras de médio porte, onde a gestão de identidade muitas vezes carece de processos maduros de revisão periódica de contas. A criação de contas com nomes genéricos como `admin_temp`, `svc_backup` ou `suporte` frequentemente passa despercebida em ambientes sem monitoramento adequado de SIEM. O crescimento da adoção de ambientes híbridos (on-premises + Azure AD) no Brasil amplifica o risco, pois a superfície de identidade aumenta significativamente e a visibilidade centralizada frequentemente é inadequada. Grupos de espionagem com interesse em infraestrutura crítica brasileira - especialmente energia, telecomúnicações e governo - como [[g0035-dragonfly|Dragonfly]] e [[g0059-magic-hound|Magic Hound]], têm motivação para usar essa técnica como parte de operações de persistência de longo prazo. Recomenda-se que equipes de segurança brasileiras implementem revisões trimestrais de identidade, utilizem ferramentas como Microsoft Entra ID Access Reviews, e configurem alertas no SIEM para criação de contas fora do processo aprovado - especialmente contas com nomes que contenham termos genéricos relacionados a administração e serviços de sistema. ## Referências - [[t1036-masquerading|T1036 - Masquerading]] - [[t1136-create-account|T1136 - Creaté Account]] - [[t1087-account-discovery|T1087 - Account Discovery]] - [[t1531-account-access-removal|T1531 - Account Access Removal]] - [[t1656-impersonation|T1656 - Impersonation]] - [[g1046-storm-1811|Storm-1811]] - [[g0059-magic-hound|Magic Hound]] - [[g0035-dragonfly|Dragonfly]] - [[g0022-apt3|APT3]] - [[s0143-flame|Flame]] - [[s0382-servhelper|ServHelper]] - [[m1047-audit|M1047 - Audit]] - [[m1018-user-account-management|M1018 - User Account Management]] *Fonte: MITRE ATT&CK - T1036.010*