# T1078 - Valid Accounts
## Descrição
**T1078 - Valid Accounts** é uma das técnicas mais amplamente utilizadas no arsenal de adversários modernos - tanto APTs patrocinados por estados quanto grupos de crime organizado. A técnica consiste na obtenção e uso abusivo de credenciais legítimas de contas existentes para ganhar acesso inicial, estabelecer persistência, escalar privilégios ou evadir detecção.
Credenciais comprometidas permitem que adversários contornem controles de acesso em recursos da rede e mantenham acesso persistente a sistemas remotos e serviços expostos externamente - incluindo VPNs, portais webmail (como Outlook Web Access / Microsoft 365), dispositivos de rede e serviços de desktop remoto (RDP, RDS).
A razão pela qual essa técnica é tão eficaz é simples: **o adversário não usa malware**. Ao operar com credenciais válidas, toda atividade maliciosa se mistura com atividade legítima de usuários, tornando a detecção baseada em assinaturas completamente ineficaz. Isso exige abordagens de detecção baseadas em comportamento e contexto (UEBA - User and Entity Behavior Analytics).
**Contexto de uso por táticas MITRE:**
| Tática | Como T1078 é utilizado |
|--------|------------------------|
| Initial Access | Acesso via VPN, RDP, portais web com credenciais roubadas |
| Persistence | Manter acesso mesmo após remoção de malware inicial |
| Privilege Escalation | Reutilizar credenciais de contas privilegiadas roubadas |
| Defense Evasion | Operar como usuário legítimo, sem ferramentas maliciosas detectáveis |
---
## Sub-técnicas
- [[t1078-001-default-accounts|T1078.001 - Default Accounts]]
- [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]]
- [[t1078-003-local-accounts|T1078.003 - Local Accounts]]
- [[t1078-004-cloud-accounts|T1078.004 - Cloud Accounts]]
## Como Funciona
### Vetores de Obtenção de Credenciais
Adversários obtêm credenciais válidas por múltiplos meios antes de utilizá-las:
**1. Credential Dumping (pós-comprometimento inicial)**
Após ganhar acesso inicial, adversários extraem credenciais da memória (LSASS), do SAM, do banco de dados NTDS.dit (Active Directory) ou de credenciais salvas em navegadores. Técnicas como [[t1003-credential-dumping|T1003 - OS Credential Dumping]] (Mimikatz, secretsdump.py) são tipicamente a fonte.
**2. Phishing de Credenciais**
Páginas falsas de login (Microsoft 365, VPN, webmail corporativo) capturam usuário e senha. Em casos com MFA, adversários usam adversary-in-the-middle (AiTM) para capturar tokens de sessão (como no caso [[g1015-scattered-spider|Scattered Spider]]).
**3. Credential Stuffing / Password Spraying**
Uso de listas de credenciais vazadas em ataques de força bruta ou "spray" - tentando senhas comuns em muitas contas para evitar bloqueios.
**4. Compra no Underground**
Credenciais corporativas vendidas em fóruns criminais (Genesis Market, Russian Market) - normalmente extraídas por stealers (RedLine, Vidar, Raccoon).
**5. Supply Chain / Terceiros**
Comprometer um fornecedor ou parceiro com acesso à rede do alvo (técnica usada na campanha SolarWinds pelo APT29).
**6. Contas Inativas / Órfãs**
Contas de ex-funcionários que não foram desativadas - frequentemente sem monitoramento ativo, com senhas nunca expiradas.
### Padrão de Uso Operacional
```
Obtenção → Reconhecimento → Movimentação Lateral → Escalonamento → Persistência
```
Após obter credenciais, o adversário tipicamente:
1. Autentica em serviços expostos externamente (VPN, OWA, portal de acesso remoto)
2. Realiza reconhecimento interno silencioso (LDAP queries, enumeração de compartilhamentos)
3. Move lateralmente usando as mesmas credenciais ou credenciais adicionais descobertas
4. Escalona para contas privilegiadas (Domain Admin, Global Admin no Azure AD)
5. Estabelece persistência adicional (novas contas backdoor, tokens de API de longa duração)
---
## Attack Flow
```mermaid
graph TB
A["🎣 Obtenção de Credenciais<br/>Phishing / Credential Dump / Dark Web"] --> B["🔍 Reconhecimento<br/>Validar credenciais / Identificar escopo"]
B --> C{"🚪 Acesso Inicial<br/>Qual serviço exposto?"}
C --> D["🌐 VPN / RDP<br/>T1078.002 Domain Account"]
C --> E["☁️ Cloud Portal<br/>T1078.004 Cloud Account"]
C --> F["🔧 Default Creds<br/>T1078.001 Default Account"]
D --> G["🔎 Reconhecimento Interno<br/>LDAP / AD Enumeration"]
E --> G
F --> G
G --> H["↔️ Movimento Lateral<br/>Pass-the-Hash / Pass-the-Ticket"]
H --> I["⬆️ Escalonamento de Privilégio<br/>Domain Admin / Root / Global Admin"]
I --> J["💾 Persistência<br/>Novas contas / Tokens de longa duração"]
J --> K["🎯 Objetivo Final<br/>Exfiltração / Ransomware / Espionagem"]
style A fill:#c0392b,color:#fff
style C fill:#8e44ad,color:#fff
style I fill:#e74c3c,color:#fff
style K fill:#c0392b,color:#fff
```
---
## Exemplos de Uso
### Scattered Spider - MFA Bypass e Social Engineering
O [[g1015-scattered-spider|Scattered Spider]] (UNC3944) é um grupo de ameaça com nexo anglófono que especializa-se no abuso de T1078 via engenharia social avançada:
- Ligam para help desks corporativos se passando por funcionários e convencem o suporte a resetar credenciais ou desativar MFA
- Utilizam portais de identidade (Azure AD, Okta) para reset de senha
- Comprometeram dezenas de organizações incluindo MGM Resorts, Caesars Entertainment e Cloudflare (2023)
- Técnica: [[t1078-004-cloud-accounts|T1078.004 - Cloud Accounts]] + engenharia social
### Volt Typhoon - Credenciais de VPN e Dispositivos de Rede
O [[g1017-volt-typhoon|Volt Typhoon]] (nexo China), focado em infraestrutura crítica americana, abusa extensivamente de T1078:
- Extrai credenciais de roteadores e firewalls comprometidos
- Usa credenciais legítimas de VPN para acesso persistente "living off the land"
- Foco em setores de energia, água, telecomúnicações e transporte
- Opera por longos períodos sem usar malware - puramente com credenciais válidas
### APT41 - Espionagem e Crime Financeiro
O [[g0096-apt41|APT41]] (Winnti Group, nexo China) usa T1078 como técnica de persistência:
- Compromete contas de AD de alto valor após acesso inicial via exploração de vulnerabilidades
- Usa contas de serviço com senhas nunca expiradas para persistência de longo prazo
- Técnica frequentemente combinada com [[t1550-use-alternate-authentication-material|T1550 - Use Alternaté Authentication Material]]
### Lazarus Group - Credenciais em Exchanges de Criptomoeda
O [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) usa T1078 em ataques a exchanges e DeFi:
- Obtém credenciais de funcionários de exchanges via spear-phishing
- Usa contas legítimas para fazer requisições de saque que passam pelos controles internos
- Relacionado ao roubo de US$ 1,5 bilhão da Bybit em 2025
---
## Detecção
### Sigma Rule - Login de Conta em Horário Atípico
```yaml
title: Valid Account Login at Unusual Hours
id: b3c4d5e6-f7a8-9012-bcde-f12345678901
status: experimental
description: >
Detecta autenticações bem-sucedidas fora do horário comercial normal,
especialmente de localizações ou endereços IP incomuns.
author: RunkIntel
daté: 2026/03/25
references:
- https://attack.mitre.org/techniques/T1078/
logsource:
product: windows
service: security
detection:
selection:
EventID: 4624
LogonType:
- 3 # Network logon
- 10 # RemoteInteractive (RDP)
timeframe:
- before: '07:00'
- after: '20:00'
filter_service_accounts:
SubjectUserName|endswith: '