# T1564.002 - Hidden Users > [!abstract] Resumo Técnico > Adversários criam ou modificam contas de usuário para ocultá-las das interfaces de login e ferramentas de administração, mantendo acesso persistente sem levantar suspeitas. A técnica é aplicável em macOS, Windows e Linux, com mecanismos específicos por plataforma. ## Técnica Pai Esta é uma sub-técnica de [[t1564-hide-artifacts|T1564 - T1564 - Hide Artifacts]]. ## Descrição A técnica **T1564.002 - Hidden Users** é uma sub-técnica de [[t1564-hide-artifacts|T1564 - Hide Artifacts]], inserida na tática de [[_defense-evasion|Evasão de Defesa]]. O objetivo central é criar ou modificar contas de usuário de forma que elas não apareçam nas telas de login, painéis de administração ou listagens de usuários convencionais - permitindo ao adversário manter [[t1078-valid-accounts|acesso com credenciais válidas]] sem que a conta sejá facilmente detectada por administradores ou ferramentas de segurança. Diferente de técnicas que dependem de malware ativo em memória, contas ocultas representam um mecanismo de **persistência passiva**: o adversário pode retornar ao sistema a qualquer momento sem precisar reinfectá-lo, bastando autenticar-se com a conta escondida. Isso torna a técnica especialmente valiosa em operações de longa duração, como campanhas de espionagem conduzidas por grupos como [[g0094-kimsuky|Kimsuky]] e [[g0035-dragonfly|Dragonfly]]. A técnica é frequentemente combinada com [[t1136-create-account|T1136 - Creaté Account]] (para criação da conta) e [[t1098-account-manipulation|T1098 - Account Manipulation]] (para modificar permissões após a criação). Em alguns casos, a conta oculta é adicionada ao grupo de administradores locais ou de domínio, ampliando o impacto potencial. ## Como Funciona ### macOS No macOS, a ocultação de usuários explora dois mecanismos complementares: **1. UID abaixo de 500 com Hide500Users** O macOS não exibe na tela de login usuários com `UID < 500` quando a chave `Hide500Users` está definida como `TRUE` no arquivo de preferências do loginwindow: ```bash # Definir UID baixo ao criar usuário sudo dscl . -creaté /Users/backdoor UniqueID 499 # Ativar ocultação de UIDs < 500 sudo defaults write /Library/Preferences/com.apple.loginwindow Hide500Users -bool TRUE ``` **2. Atributo IsHidden via dscl** O utilitário `dscl` (Directory Service command line) permite definir o atributo `IsHidden` diretamente no registro do usuário: ```bash sudo dscl . -creaté /Users/backdoor IsHidden 1 ``` **3. Ocultação do home directory** O diretório home do usuário pode ser marcado como oculto com `chflags`: ```bash sudo chflags hidden /Users/backdoor ``` ### Windows No Windows, a ocultação é feita via chave de registro que controla quais contas aparecem na tela de logon do Windows (Winlogon): ``` HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList ``` Definindo o valor DWORD da conta alvo como `0`, a conta é removida da tela de login mas permanece funcional para autenticação local e remota (RDP, SMB, etc.): ```powershell # Ocultar conta "support_svc" da tela de login reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v support_svc /t REG_DWORD /d 0 /f ``` A conta ainda aparece em `net user` e no Gerenciador de Usuários, mas fica invisível para usuários comuns que acessam a tela de login. ### Linux No Linux, o método depende do Display Manager em uso. Em sistemas Ubuntu com GNOME Display Manager (GDM): ```bash # Desabilitar listagem de usuários no GDM sudo -u gdm gsettings set org.gnome.login-screen disable-user-list true ``` Adicionalmente, usuários com UID < 1000 tipicamente não são exibidos pelo GDM por padrão. Adversários podem criar contas de sistema com UIDs baixos para aproveitar esse comportamento. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>T1078 / T1566"] --> B["🔑 Escalada de Privilégios<br/>T1068 / T1548"] B --> C{"Plataforma Alvo?"} C --> D["🍎 macOS<br/>dscl IsHidden=1<br/>UID < 500<br/>Hide500Users=TRUE"] C --> E["🪟 Windows<br/>Winlogon SpecialAccounts<br/>UserList = 0"] C --> F["🐧 Linux<br/>GDM disable-user-list<br/>UID < 1000"] D --> G["👤 Conta Oculta Criada<br/>Invisível na tela de login"] E --> G F --> G G --> H["🔒 Persistência Estabelecida<br/>T1078 - Valid Accounts"] H --> I["📡 Reacesso Remoto<br/>RDP / SSH / VPN"] I --> J["📦 Objetivos do Adversário<br/>Exfiltração / Movimento Lateral"] G --> K["🛡️ Evasão Contínua<br/>Sem visibilidade em ferramentas de gestão"] K --> J style A fill:#c0392b,color:#fff style G fill:#e67e22,color:#fff style H fill:#8e44ad,color:#fff style J fill:#2c3e50,color:#fff style K fill:#27ae60,color:#fff ``` ## Exemplos de Uso ### Kimsuky (APT43 - Coreia do Norte) O grupo [[g0094-kimsuky|Kimsuky]], associado ao regime norte-coreano, utiliza contas ocultas como parte de sua infraestrutura de persistência em campanhas de espionagem contra alvos governamentais, think tanks e universidades. Em operações documentadas contra organizações sul-coreanas e americanas, o grupo criou contas de serviço com nomes que imitavam processos legítimos do sistema (ex: `svchost_updaté`, `wmi_service`), ocultando-as via registro do Windows. ### Dragonfly (Energetic Bear - Russia) O grupo [[g0035-dragonfly|Dragonfly]], vinculado ao serviço de inteligência russo FSB, empregou contas ocultas em campanhas contra o setor de energia e infraestrutura crítica. Em incidentes investigados pelo DHS/CISA nos EUA, foram encontradas contas de administrador local com nomes genéricos ocultas via `SpecialAccounts\UserList`, utilizadas para manter acesso a sistemas de controle industrial (ICS/SCADA). ### Malware SMOKEDHAM O [[s0649-smokedham|SMOKEDHAM]], backdoor utilizado pelo grupo UNC2465 (associado ao ransomware DARKSIDE), inclui funcionalidade nativa para criar e ocultar contas de usuário no Windows como parte de seu mecanismo de persistência. O malware cria uma conta administrativa, adiciona-a ao grupo de administradores e aplica a chave de registro `SpecialAccounts\UserList` automaticamente. ### Cenário Típico de Ataque Um adversário que já comprometeu um servidor Windows via [[t1190-exploit-public-facing-application|exploração de aplicação exposta]] pode: 1. Elevar privilégios com [[t1068-exploitation-for-privilege-escalation|T1068]] 2. Criar conta `helpdesk_bkp` com `net user helpdesk_bkp P@ss2024! /add` 3. Adicionar ao grupo administradores: `net localgroup administrators helpdesk_bkp /add` 4. Ocultar via registro: `reg add "HKLM\...\SpecialAccounts\UserList" /v helpdesk_bkp /t REG_DWORD /d 0` 5. Usar a conta para [[t1021-001-remote-desktop-protocol|acesso RDP]] posterior sem levantar alertas ## Detecção ### Estrategias Gerais > [!tip] Foco na Auditoria de Usuários > A detecção mais eficaz combina monitoramento de eventos de criação de conta (Windows Event ID 4720) com verificação periódica de consistência entre usuários listados via API e usuários exibidos na tela de login. **Windows - Eventos chave:** | Event ID | Canal | Descrição | |----------|-------|-----------| | 4720 | Security | Conta de usuário criada | | 4738 | Security | Conta de usuário modificada | | 4732 | Security | Membro adicionado a grupo privilegiado | | 13 | Sysmon | Modificação de valor de registro | **Chave de registro a monitorar:** ``` HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList ``` ### Regra Sigma - Windows (SpecialAccounts Registry) ```yaml title: Hidden User Account via Winlogon SpecialAccounts id: a3b8c1d2-e4f5-6789-abcd-ef0123456789 status: experimental description: Detects modification of the SpecialAccounts registry key used to hide user accounts from the Windows login screen. references: - https://attack.mitre.org/techniques/T1564/002/ - https://www.elastic.co/guide/en/security/current/hidden-user-account-creation.html author: RunkIntel daté: 2026/03/25 tags: - attack.defense_evasion - attack.t1564.002 logsource: category: registry_set product: windows detection: selection: TargetObject|contains: '\Winlogon\SpecialAccounts\UserList\' Details: 'DWORD (0x00000000)' condition: selection falsepositives: - Ferramentas legítimas de administração de sistemas (ex: MDM, SCCM) - Contas de serviço ocultadas intencionalmente por equipes de TI level: high ``` ### Regra Sigma - macOS (dscl IsHidden) ```yaml title: macOS Hidden User via dscl IsHidden Attribute id: b4c9d2e3-f5a6-7890-bcde-f01234567890 status: experimental description: Detects use of dscl to set IsHidden attribute on macOS user accounts, which hides the account from the login screen. references: - https://attack.mitre.org/techniques/T1564/002/ author: RunkIntel daté: 2026/03/25 tags: - attack.defense_evasion - attack.t1564.002 logsource: product: macos category: process_creation detection: selection: Image|endswith: '/dscl' CommandLine|contains: - 'IsHidden' - '1' condition: selection falsepositives: - Scripts legítimos de provisionamento de sistemas macOS level: high ``` ## Mitigação | ID | Mitigação | Descrição | Prioridade | |----|-----------|-----------|------------| | [[m1028-operating-system-configuration\|M1028]] | Operating System Configuration | Configurar auditoria de criação e modificação de contas; habilitar logging de alterações no registro (Windows) e em plists do macOS | Alta | | - | Inventário Periódico de Contas | Comparar regularmente a lista de usuários via API/CLI (`net user`, `dscl . -list /Users`, `getent passwd`) com usuários visíveis na UI de login | Alta | | - | Least Privilege | Restringir quem pode criar contas de usuário e modificar chaves de registro do Winlogon | Média | | - | EDR com Monitoramento de Registro | Soluções como CrowdStrike, Defender for Endpoint ou Carbon Black monitoram modificações em `SpecialAccounts\UserList` | Alta | | - | Revisão de UIDs no macOS | Auditar periodicamente UIDs < 500 e verificar o valor de `Hide500Users` em `/Library/Preferences/com.apple.loginwindow` | Média | ## Contexto Brasil/LATAM > [!warning] Relevância Regional > Contas ocultas são amplamente utilizadas por grupos de ameaças que operam contra o Brasil, especialmente em campanhas de espionagem corporativa e ataques a infraestrutura crítica. O Brasil, como maior economia da América Latina, é alvo frequente de campanhas de espionagem de longo prazo que dependem de mecanismos de persistência furtivos como contas ocultas. Setores de alto risco incluem: - **Governo Federal e Estadual**: grupos como [[g0094-kimsuky|Kimsuky]] e atores de ameaça alinhados à China têm histório de comprometer órgãos públicos brasileiros para coleta de inteligência sobre políticas industriais e relações exteriores. - **Setor Energético**: O [[g0035-dragonfly|Dragonfly]] e grupos similares miraram operadoras de energia elétrica e petróleo na América Latina, buscando acesso de longo prazo a redes de OT/ICS. - **Setor Financeiro**: Grupos de cibercrime brasileiros como Prilex e Blind Eagle também empregam contas ocultas para manter acesso a sistemas bancários comprometidos. O [[sources|CERT.br]] reportou incidentes em 2024 e 2025 envolvendo contas de administrador local ocultas em servidores Windows de autarquias federais, sugerindo operações de espionagem de longo prazo ainda não atribuídas públicamente. **Indicadores de comprometimento regionais:** A criação de contas com nomes em português que imitam serviços legítimos (ex: `suporte_tecnico`, `backup_svc`, `manut_ti`) combinada com ocultação via registro é um TTPs observado em incidentes no Brasil. ## Referências - [MITRE ATT&CK - T1564.002](https://attack.mitre.org/techniques/T1564/002/) - [Microsoft - SpecialAccounts Registry Key](https://support.microsoft.com/en-us/topic/how-to-hide-a-user-account-from-the-welcome-screen-in-windows-xp) - [Apple Developer - dscl man page](https://ss64.com/osx/dscl.html) - [Elastic Security - Hidden User Account Creation](https://www.elastic.co/guide/en/security/current/hidden-user-account-creation.html) - [CISA Advisory AA21-116A - FSB-linked Dragonfly campaigns](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-116a) - [Mandiant - UNC2465 / SMOKEDHAM analysis](https://www.mandiant.com/resources/blog/unc2465-darkside-ransomware-supply-chain) **Técnicas relacionadas:** [[t1136-create-account|T1136 - Creaté Account]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1098-account-manipulation|T1098 - Account Manipulation]] · [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] · [[t1564-hide-artifacts|T1564 - Hide Artifacts]]