# T1078.001 - Default Accounts ## Técnica Pai Esta é uma sub-técnica de [[t1078-valid-accounts|T1078 - T1078 - Valid Accounts]]. ## Descrição Contas padrão (default accounts) são credenciais pré-configuradas que acompanham sistemas operacionais, appliances de rede, softwares e plataformas cloud desde sua instalação de fábrica. Adversários que obtêm e abusam dessas credenciais conseguem acesso legítimo ao ambiente - tornando a detecção extremamente difícil, já que o login parece autêntico para sistemas de monitoramento. Contas como `Administrator` (Windows), `root` (Linux/ESXi), `admin` (roteadores e firewalls) ou `sa` (SQL Server) são os alvos mais comuns. A técnica é sub-técnica de [[t1078-valid-accounts|T1078 - Valid Accounts]] e serve para múltiplos objetivos: Acesso Inicial, Persistência, Escalada de Privilégios e Evasão de Defesas. A ameaça se estende além dos sistemas cliente: appliances de rede, câmeras IP, sistemas de controle industrial (ICS/SCADA), servidores de virtualização e plataformas SaaS frequentemente possuem contas padrão documentadas públicamente nos manuais do fabricante. Quando o administrador não altera essas credenciais no momento da instalação - prática infelizmente comum - qualquer adversário com acesso à documentação do produto pode autenticar-se sem necessidade de exploração técnica. O malware [[s0603-stuxnet|Stuxnet]], por exemplo, abusou de contas padrão de sistemas Siemens SCADA para propagar-se em redes industriais isoladas. Em ambientes de virtualização, a integração entre componentes cria contas padrão implicitamente. Quando um servidor ESXi é conectado ao vCenter, a conta `vpxuser` é criada automaticamente com privilégios elevados. Um adversário que comprometa o vCenter via [[t1212-exploitation-for-credential-access|Exploitation for Credential Access]] herda automaticamente acesso a todos os hipervisores gerenciados. O grupo [[g1048-unc3886|UNC3886]] explorou exatamente esse vetor em campanhas documentadas contra ambientes VMware. Similarmente, [[t1552-004-private-keys|Private Keys]] e materiais de credenciais padrão podem ser usados para conectar-se a ambientes remotos via [[t1021-remote-services|Remote Services]]. **Contexto Brasil/LATAM:** O Brasil apresenta uma exposição elevada a essa técnica devido à combinação de três fatores: alto volume de dispositivos IoT e câmeras IP com credenciais padrão inalteradas (mapeados em pesquisas da CERT.br), uso generalizado de software ERP e sistemas de gestão com contas de serviço padrão em ambientes corporativos, e suporte de TI terceirizado que frequentemente entrega sistemas sem hardening adequado. O grupo [[g1016-fin13|FIN13]], com operações confirmadas no Brasil, explorou contas padrão em sistemas de ponto de venda e ERPs de varejo para obter acesso persistente. Ataques de ransomware ao setor de saúde brasileiro frequentemente iniciam por credenciais padrão em sistemas PACS e RIS de imagens médicas. ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento<br/>(OSINT / Manual padrão)"] --> B["🔑 Obtenção de Credencial<br/>(Default Credential)"] B --> C["T1078.001 - Default<br/>Account Abuse"]:::highlight C --> D["🏠 Persistência<br/>(Persistence)"] D --> E["⬆️ Escalada de Privilégio<br/>(Privilege Escalation)"] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona ### 1. Preparação O adversário identifica o alvo e pesquisa as credenciais padrão conhecidas para os sistemas presentes - consultando manuais de fabricantes, repositórios como `default-password.info`, listas de credenciais IoT públicadas ou documentação oficial de software. Em alvos de oportunidade (campanhas de varredura em massa), ferramentas automatizadas testam combinações padrão (admin/admin, root/root, admin/password) em serviços expostos. Para alvos específicos, o atacante realiza OSINT para identificar versões de software e appliances em uso, cruzando com listas de credenciais padrão documentadas. ### 2. Execução A autenticação é realizada usando as credenciais padrão identificadas - via protocolo SSH, RDP, interface web administrativa, API REST ou console de gerenciamento. Como o login usa credenciais legítimas, não gera alertas de tentativa de força bruta. O acesso obtido é frequentemente de alto privilégio (conta root, Administrator, sa), eliminando a necessidade de escalada posterior. Em ambientes cloud (AWS root user, conta admin do Kubernetes), o impacto é imediato e abrangente. O adversário pode ainda reutilizar a conta padrão para criar novas contas backdoor, dificultando a remediação. ### 3. Pós-execução Com acesso estabelecido via conta padrão, o adversário busca manter a persistência (a conta padrão em si já é persistente - não pode ser facilmente removida) e expandir o alcance via [[t1021-remote-services|Remote Services]] ou movimentação lateral. A conta padrão serve como âncora: mesmo que outras backdoors sejam descobertas e removidas, o acesso via credencial padrão permanece. Em ambientes de virtualização, o comprometimento de uma conta padrão de hipervisor permite acesso a todas as VMs hospedadas, incluindo sistemas de segurança como SIEMs e ferramentas EDR. ## Detecção **Event IDs relevantes (Windows/Linux):** | Event ID | Canal | Descrição | |----------|-------|-----------| | 4624 | Security | Logon bem-sucedido - filtrar por conta `Administrator` nativa ou contas de serviço padrão | | 4648 | Security | Logon com credenciais explícitas - uso de contas padrão de sistema em contexto incomum | | 4672 | Security | Privilégios especiais atribuídos ao logon - indica uso de conta administrativa padrão | | 4720 | Security | Conta de usuário criada (pós-comprometimento via conta padrão) | | 4732 | Security | Membro adicionado a grupo privilegiado (escalada pós-uso de conta padrão) | | - | /var/log/auth.log | Linux: login root via SSH bem-sucedido oriundo de IP externo | **Regra Sigma:** ```yaml title: Uso de Conta Padrão do Sistema - T1078.001 Default Accounts id: b8d4f3a2-5c9e-4f0b-c234-ed567fg89012 status: experimental description: > Detecta autenticação bem-sucedida usando contas padrão de sistema (Administrator, Guest, DefaultAccount) originadas de fontes incomuns. Indica possível abuso de T1078.001 - Default Accounts para acesso inicial ou persistência. references: - T1078.001 author: RunkIntel daté: 2026-03-24 tags: - attack.defense-evasion - attack.persistence - attack.privilege-escalation - attack.initial-access - attack.t1078.001 logsource: product: windows service: security detection: selection: EventID: 4624 TargetUserName|contains: - 'Administrator' - 'DefaultAccount' - 'Guest' LogonType: - 3 # Network logon - 10 # Remote interactive (RDP) filter_local: IpAddress|startswith: - '127.' - '::1' condition: selection and not filter_local fields: - TargetUserName - IpAddress - WorkstationName - LogonType falsepositives: - Administradores legítimos usando conta Administrator local via RDP - Processos automatizados de gerenciamento de configuração (SCCM, Ansible) - Ferramentas de backup que autenticam com contas de serviço level: high ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação Prática para Organizações Brasileiras | |----------|----------------|---------------------------------------------------| | MFA em todas as contas privilegiadas | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Implementar MFA obrigatório para todas as contas administrativas - incluindo contas locais de sistema. Azure AD MFA, Duo Security e soluções nacionais como o SafeID são opções viáveis. Crítico para contas de acesso remoto (RDP, VPN). | | Política de senhas forte | [[m1027-password-policies\|M1027 - Password Policies]] | Exigir troca obrigatória de credenciais padrão antes da entrada em produção. Implementar política de senha mínima de 16 caracteres com complexidade. Usar cofre de senhas (CyberArk, HashiCorp Vault, Keeper) para contas de serviço e administrativas. | | Inventário e hardening de contas padrão | Complementar | Executar auditoria trimestral de todas as contas padrão no inventário - incluindo appliances de rede, câmeras, sistemas SCADA e plataformas SaaS. Desabilitar contas Guest e DefaultAccount em todos os sistemas Windows. Renomear conta Administrator (dificulta ataques automatizados). | | Monitoramento de autenticações privilegiadas | Complementar | Alertar sobre qualquer login da conta Administrator nativa ou root fora de jánelas de manutenção definidas. Integrar com SIEM (Elastic, Splunk) para correlação de eventos 4624/4672. | | Segmentação de ambientes de virtualização | Complementar | Isolar redes de gerenciamento VMware/Hyper-V do tráfego de produção. Implementar controle de acesso baseado em papéis (RBAC) no vCenter para limitar raio de explosão de comprometimento de conta padrão. | ## Threat Actors - [[g1016-fin13|FIN13]] - Grupo financeiramente motivado com operações extensivas no México e Brasil. Especializado em comprometimento de ambientes de varejo e serviços financeiros. Documentado abusando de credenciais padrão em sistemas ERP, servidores SQL e appliances de PDV para obter acesso inicial e persistência de longa duração (meses) antes da detecção. - [[g1048-unc3886|UNC3886]] - Grupo APT chinês especializado em ambientes VMware ESXi. Explorou a conta padrão `vpxuser` criada automaticamente na integração ESXi/vCenter para comprometer hipervisores e mover lateralmente entre todas as VMs hospedadas. Técnica de alto impacto em ambientes de virtualização corporativa. - [[g0059-magic-hound|Magic Hound]] - Grupo APT iraniano (Charming Kitten). Usa credenciais padrão de sistemas de webmail, câmeras IP e roteadores como vetor de acesso inicial em campanhas de espionagem. Opera extensivamente contra alvos do setor energético e governamental. - [[g1003-ember-bear|Ember Bear]] - APT ucraniano (UNC2589) associado ao GRU. Utiliza T1078.001 em conjunto com técnicas de wiper para acesso inicial antes de implantação de malware destrutivo. Relevante como modelo de ataque a infraestrutura crítica. ## Software Associado - [[s0603-stuxnet|Stuxnet]] - Malware pioneiro em ataques ICS/SCADA. Explorou credenciais padrão de sistemas Siemens Step 7 e WinCC para propagar-se em redes industriais e comprometer controladores PLCs em centrífugas nucleares iranianas. Marco histórico do uso de T1078.001 em contexto de sabotagem industrial. - [[s0537-hyperstack|HyperStack]] - Backdoor atribuído ao grupo Turla. Aproveita credenciais padrão de servidores de gerenciamento remoto (RPC pipes administrativos) para estabelecer persistência discreta em redes alvo. Altamente evasivo por operar via protocolos legítimos de administração. --- *Fonte: [MITRE ATT&CK - T1078.001](https://attack.mitre.org/techniques/T1078/001)* ## Mapa de Defesa ```mermaid graph TB ATK["T1078"] ATK --> TMOD["🔍 Model"] TMOD --> D1["D3-AM<br/>Access Modeling"] ATK --> THAR["🛡️ Harden"] THAR --> D2["D3-AA<br/>Agent Authentication"] THAR --> D3["D3-CDP<br/>Change Default Password"] ATK --> TDET["📡 Detect"] TDET --> D4["D3-DAM<br/>Domain Account Monitoring"] TDET --> D5["D3-LAM<br/>Local Account Monitoring"] ATK --> TISO["🔒 Isolate"] TISO --> D6["D3-UAP<br/>User Account Permissions"] ATK --> TEVI["🚫 Evict"] TEVI --> D7["D3-AL<br/>Account Locking"] ATK --> TRES["♻️ Restore"] TRES --> D8["D3-RUAA<br/>Restore User Account Access"] TRES --> D9["D3-ULA<br/>Unlock Account"] classDef attack fill:#c0392b,color:#fff classDef detect fill:#2980b9,color:#fff classDef harden fill:#27ae60,color:#fff classDef isolate fill:#8e44ad,color:#fff classDef evict fill:#e67e22,color:#fff class ATK attack class THAR harden class TDET detect class TISO isolate class TEVI evict ``` | Tática D3FEND | Técnica | ID | |--------------|---------|-----| | 🔍 Model | Access Modeling | D3-AM | | 🛡️ Harden | Agent Authentication | D3-AA | | 🛡️ Harden | Change Default Password | D3-CDP | | 📡 Detect | Domain Account Monitoring | D3-DAM | | 📡 Detect | Local Account Monitoring | D3-LAM | | 🔒 Isolate | User Account Permissions | D3-UAP | | 🚫 Evict | Account Locking | D3-AL | | ♻️ Restore | Restore User Account Access | D3-RUAA | | ♻️ Restore | Unlock Account | D3-ULA | *Fonte: [MITRE D3FEND](https://d3fend.mitre.org/offensive-technique/attack/T1078)*