# T1078.003 - Local Accounts
## Técnica Pai
Esta é uma sub-técnica de [[t1078-valid-accounts|T1078 - T1078 - Valid Accounts]].
## Descrição
**Local Accounts** é uma subtécnica de [[t1078-valid-accounts|T1078 - Valid Accounts]] na qual adversários obtêm e abusam de credenciais de contas locais do sistema - como a conta `Administrator` embutida no Windows, contas de serviço criadas por aplicações, contas de manutenção e contas criadas pelo próprio adversário - para ganhar ou manter acesso, elevar privilégios e realizar movimento lateral.
Diferentemente do abuso de contas de domínio ([[t1078-002-domain-accounts|T1078.002]]) ou contas na nuvem ([[t1078-004-cloud-accounts|T1078.004]]), as contas locais existem apenas na máquina onde foram criadas e não são gerenciadas centralmente pelo Active Directory. Isso as torna especialmente atrativas para adversários porque:
1. **Visibilidade reduzida**: atividades de autenticação com contas locais frequentemente não são centralizadas em SIEMs corporativos que monitoram logs de domínio
2. **Reutilização de senha**: ambientes Windows corporativos frequentemente têm a mesma senha na conta `Administrator` local em dezenas ou centenas de máquinas - uma vulnerabilidade histórica que o Microsoft LAPS foi criado para endereçar
3. **Persistência resiliente**: contas locais sobrevivem a mudanças de senha de domínio, rebaixamento de controladores de domínio e rotações de credenciais corporativas
4. **Bypass de controles de domínio**: permissões e políticas aplicadas via GPO ao domínio não se aplicam a contas locais da mesma forma
A técnica cobre múltiplos objetivos táticos: **Initial Access** (uso de credenciais comprometidas para entrar pela primeira vez), **Persistence** (conta backdoor local mantida para reentrada), **Privilege Escalation** (uso da conta Administrator local para elevar privilégios) e **Defense Evasion** (operar com conta local para misturar-se ao tráfego de administração legítima).
---
## Como Funciona
### Obtenção de Credenciais de Contas Locais
Adversários obtêm credenciais de contas locais por múltiplos meios:
**1. Credential Dumping - SAM Database**
O banco de dados SAM (Security Account Manager) em Windows armazena hashes NTLM de todas as contas locais. Ferramentas como **Mimikatz** (com `sekurlsa::logonpasswords`, `lsadump::sam`) e **Impacket secretsdump** extraem esses hashes. O hash pode ser usado diretamente em ataques **Pass-the-Hash** sem necessidade de quebrar a senha, via [[t1003-os-credential-dumping|OS Credential Dumping]].
**2. Brute Force e Password Spray**
A conta `Administrator` embutida (RID 500) frequentemente tem senha fraca ou padrão em máquinas não gerenciadas. Atacantes usam tools como **CrackMapExec** e **Spray** para testar credenciais padrão (admin/admin, administrator/password123, senhas baseadas no hostname) contra múltiplos alvos simultaneamente.
**3. Criação de Conta Backdoor**
Após obter acesso privilegiado, adversários criam novas contas locais para persistência. Contas criadas fora do processo de provisionamento corporativo raramente são monitoradas. Elas podem ser adicionadas ao grupo `Administrators` local ou mantidas como contas de usuário standard com configurações específicas.
**4. Credenciais em Arquivos e Configurações**
Arquivos de configuração de aplicações, scripts de automação, bancos de dados de gerenciamento de configuração e repositórios git frequentemente contêm senhas de contas de serviço locais em texto claro ou fracamente codificadas.
### Abuso de Contas Locais para Movimento Lateral
O abuso mais impactante de contas locais ocorre quando a **mesma senha** é usada na conta `Administrator` local de múltiplas máquinas. O adversário, após comprometer uma única máquina e extrair o hash NTLM, usa Pass-the-Hash via SMB/WMI/RDP para autenticar em todas as outras máquinas com a mesma senha - um movimento lateral massivo possível sem nunca quebrar a senha original.
Ferramentas usadas:
- **CrackMapExec** - movimento lateral via SMB com hashes ou senhas
- **Impacket psexec/wmiexec** - execução remota via contas locais
- **Cobalt Strike** - `jump psexec`, `jump winrm` com credenciais locais
### Persistência via Conta Local Backdoor
O padrão de backdoor mais simples e eficaz: criar uma conta local com nome genérico (`support`, `helpdesk`, `svc_backup`), adicioná-la ao grupo `Administrators` local e configurá-la para não aparecer na tela de login. Em sistemas Windows, o registro `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList` pode ocultar contas da tela de login.
Em Linux, uma conta backdoor pode ser criada com UID 0 (equivalente a root) ou adicionada ao arquivo `/etc/sudoers` sem restrições.
---
## Attack Flow
```mermaid
graph TB
A([Adversário obtém<br/>acesso inicial]) --> B{Como obter credenciais\nde conta local?}
B --> B1Credential Dumping\nMimikatz / SAM dump]
B --> B2[Brute force /<br/>Password spray]
B --> B3[Credenciais em<br/>arquivos de config]
B --> B4[Criar nova conta<br/>backdoor local]
B1 --> C[Hash NTLM / senha<br/>da conta local]
B2 --> C
B3 --> C
B4 --> C
C --> D{Objetivo do\nadversário}
D --> D1[Persistência<br/>na máquina atual]
D --> D2[Movimento lateral<br/>para outras máquinas]
D --> D3[Elevação de<br/>privilégios]
D --> D4[Defense Evasion<br/>misturar ao tráfego legítimo]
D1 --> E1[Conta backdoor<br/>no grupo Administrators<br/>escondida da UI]
D2 --> E2[Pass-the-Hash via SMB<br/>WMI / RDP para<br/>outras máquinas]
D3 --> E3[Executar como<br/>Administrator local<br/>bypass UAC]
D4 --> E4[Operar com conta local<br/>invisível ao SIEM de domínio]
E2 --> F[Comprometer<br/>múltiplas máquinas<br/>com mesmo hash]
F --> GMovimento lateral\nem massa na rede]
E1 --> H([Persistência duradoura<br/>sem dependência de domínio])
G --> H
E3 --> H
E4 --> H
style A fill:#c0392b,color:#fff
style H fill:#8e44ad,color:#fff
style F fill:#e67e22,color:#fff
style E2 fill:#e67e22,color:#fff
```
---
## Exemplos de Uso
### FIN7 - Contas de Serviço para Persistência de Longa Duração
O [[g0046-fin7|FIN7]] (Carbanak Group), especializado em ataques contra o setor de varejo e hospitalidade, é documentado criando contas de serviço locais com nomes que imitam processos legítimos do sistema (`svc_updaté`, `svc_net`, `windows_svc`) em servidores comprometidos de PDV (ponto de venda). Essas contas são usadas para manter acesso persistente por semanas a meses enquanto a operação de coleta de dados de cartões está ativa. O FIN7 combina T1078.003 com [[s0154-cobalt-strike|Cobalt Strike]] para gerenciar o acesso remoto via essas contas.
### Kimsuky - Contas Locais em Campanhas de Espionagem
O grupo norte-coreano [[g0094-kimsuky|Kimsuky]] utiliza contas locais criadas via scripts de implante em sistemas Windows de pesquisadores e acadêmicos sul-coreanos. Em campanhas documentadas pelo CISA e FBI em 2023, o Kimsuky criava contas locais admin nas primeiras horas após comprometimento inicial, garantindo acesso persistente independente de mudanças de credenciais de domínio ou respostas a incidentes parciais que não detectassem as contas backdoor.
### Play Ransomware - Reutilização de Hash em Movimento Lateral
O grupo [[g1040-play|Play]] Ransomware documentado em 2022-2024 explorou extensivamente a reutilização de senha na conta `Administrator` local para movimento lateral rápido. Após comprometer o primeiro endpoint via phishing, o Play extraía o hash NTLM da conta `Administrator` local e usava CrackMapExec para mapear e autenticar em toda a rede corporativa. Em múltiplos casos investigados, o Play alcançou cobertura de rede de 80%+ em menos de 48 horas usando exclusivamente contas locais.
### HAFNIUM - Contas Locais em Exchange Servers
O [[g0125-silk-typhoon|HAFNIUM]] (atribuído à China), responsável pela exploração em massa das vulnerabilidades ProxyLogon em Microsoft Exchange em 2021, frequentemente criou contas locais em servidores Exchange comprometidos como backdoor secundário após implantar webshells. Mesmo quando organizações removeram os webshells, as contas locais criadas garantiram reentrada. A técnica demonstra o uso de T1078.003 como mecanismo de persistência resiliente complementar.
### LockBit 3.0 - Contas de Serviço como Vetor de Movimento Lateral
O [[s1202-lockbit-30|LockBit 3.0]] e seus afiliados sistematicamente abusam de contas de serviço locais em campanhas de ransomware. O padrão documentado: acesso inicial via RDP com credenciais de conta local obtidas por brute force ou compradas de Initial Access Brokers, seguido por escalação para Administrator local e deployment do ransomware. O LockBit afiliado em campanhas contra hospitais e prefeituras brasileiras em 2023-2024 utilizou esse padrão extensivamente.
### Velvet Ant - Persistência em Appliances de Rede
O [[g1047-velvet-ant|Velvet Ant]], ativo em espionagem industrial, foi documentado criando contas locais em appliances de rede (switches Cisco, firewalls) que não integram ao domínio corporativo Windows. Esses dispositivos raramente são cobertos por políticas de gestão de identidade centralizada, tornando-os pontos cegos ideais para persistência via contas locais.
---
## Detecção
### Estrategia Geral
A detecção de abuso de contas locais requer aténção especial porque muitas organizações não coletam ou correlacionam eventos de autenticação local no SIEM da mesma forma que os eventos de domínio. Pontos-chave:
1. **Centralizar logs de autenticação local** - não depender apenas de Domain Controllers
2. **Monitorar criação de contas** - qualquer nova conta local em servidores é suspeita
3. **Alertar em Pass-the-Hash** - padrão de logon Tipo 3 (Network) com conta local em múltiplas máquinas sequencialmente
4. **Auditar grupos Administrators locais** - membership deve ser constante e documentado
### Regra Sigma - Criação de Conta Local por Processo Não Padrão
```yaml
title: Local Account Created by Non-Standard Process
id: e7f8a9b0-c1d2-3456-efab-234567890123
status: stable
description: >
Detecta criação de conta local via net.exe, net1.exe ou PowerShell por
processos não relacionados ao provisionamento corporativo. Conta backdoor
é técnica comum de persistência.
references:
- https://attack.mitre.org/techniques/T1078/003/
- https://attack.mitre.org/techniques/T1136/001/
author: RunkIntel
daté: 2026-03-25
tags:
- attack.persistence
- attack.defense_evasion
- attack.t1078.003
- attack.t1136.001
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- '\net.exe'
- '\net1.exe'
CommandLine|contains:
- 'user'
- '/add'
filter_known_process:
ParentImage|endswith:
- '\services.exe'
- '\msiexec.exe'
- '\setup.exe'
condition: selection and not filter_known_process
falsepositives:
- Scripts de provisionamento de TI legítimos
- Instaladores de software que criam contas de serviço
level: high
```
### Regra Sigma - Adição Suspeita ao Grupo Administrators Local
```yaml
title: User Added to Local Administrators Group
id: f8a9b0c1-d2e3-4567-fab0-345678901234
status: stable
description: >
Detecta adição de conta ao grupo Administrators local via net.exe ou
PowerShell. Adversários frequentemente adicionam contas backdoor a
esse grupo para garantir acesso privilegiado persistente.
references:
- https://attack.mitre.org/techniques/T1078/003/
author: RunkIntel
daté: 2026-03-25
tags:
- attack.persistence
- attack.privilege_escalation
- attack.t1078.003
logsource:
product: windows
service: security
detection:
selection:
EventID: 4732
TargetUserName|contains:
- 'Administrators'
filter_known:
SubjectUserName|endswith:
- '