t1033-system-owneruser-discovery

# T1033 - System Owner/User Discovery ## Descrição **T1033 - System Owner/User Discovery** é uma técnica da tática de **Discovery** (Descoberta) no framework MITRE ATT&CK. Ela descreve o comportamento de adversários que buscam identificar o proprietário da máquina comprometida, o usuário atualmente logado ou o conjunto de usuários que habitualmente utiliza o sistema. Essa informação é fundamental para o atacante decidir como prosseguir: se está em uma sandbox de análise de malware, em uma estação de usuário comum ou em uma máquina privilegiada de administrador ou analista de segurança. A técnica é extremamente simples de executar - um único comando `whoami` já fornece o contexto básico - mas sua relevância estratégica é alta. Adversários usam o resultado para calibrar seu comportamento pós-comprometimento: permanecer silenciosos se detectarem um ambiente de análise, escalar o ataque se confirmarem uma conta com privilégios elevados, ou abortar a operação se identificarem que estão em uma honeypot. Ferramentas como `net user`, `id`, `who`, `w` e variáveis de ambiente como `%USERNAME%` e `$USER` são os vetores mais comuns. Em dispositivos de rede, comandos CLI como `show users` e `show ssh` cumprem o mesmo papel. Malwares avançados como [[s0367-emotet|Emotet]] e [[s0266-trickbot|TrickBot]] executam essa descoberta de forma automatizada como parte de seu processo de perfilamento inicial do ambiente. O acesso a informações de usuário também é obtido indiretamente via [[t1003-os-credential-dumping|OS Credential Dumping]] (T1003), leitura de arquivos de log do sistema, análise de propriedades de processos em execução e consultas a diretórios LDAP. [[g0046-fin7|FIN7]] e [[g0050-apt32|APT32]] utilizam T1033 como passo sistemático de reconhecimento interno, alimentando decisões de movimentação lateral e seleção de alvos de alto valor. **Contexto Brasil/LATAM:** No contexto brasileiro, T1033 é explorada principalmente em campanhas de trojans bancários e ataques de ransomware direcionados a empresas. Grupos como [[g0061-fin8|FIN8]] e [[g0082-apt38|APT38]] - este último com histórico de ataques ao sistema SWIFT de bancos - realizam enumeração de usuários para confirmar que comprometeram máquinas em ambientes de operações financeiras antes de avançar. Em ataques de BEC (Business Email Compromise) e fraude interna ao setor financeiro brasileiro, identificar o usuário logado é o primeiro passo para confirmar o acesso a terminais de transferência ou aprovação de pagamentos. ## Attack Flow ```mermaid graph TB A[Acesso Inicial T1566 Phishing] --> B[Execução T1059 Script] B --> C[Discovery **T1033 User Discovery**]:::highlight C --> D[Decisão Tática Escalar ou Abortar] D --> E[Lateral Movement T1021] D --> F[Impact T1486 Ransomware] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** Após obter execução inicial no host (via phishing, exploit ou loader), o adversário executa comandos de descoberta para contextualizar o ambiente comprometido. Frequentemente isso ocorre de forma automatizada como parte do stager ou do implante inicial. 2. **Execução:** O atacante utiliza comandos nativos do sistema operacional - `whoami`, `whoami /all`, `net user`, `net localgroup administrators`, `query user` (Windows) ou `id`, `w`, `who`, `last` (Linux/macOS). Algumas ferramentas como [[s0590-nbtscan|NBTscan]] realizam enumeração de usuários via protocolo NetBIOS em toda a rede local. Em dispositivos de rede, comandos CLI específicos como `show users` extraem sessões ativas. 3. **Pós-execução:** Com o perfil do usuário em mãos, o adversário decide o próximo passo: se o usuário logado for um analista de segurança ou o sistema tiver indicadores de sandbox, o malware pode dormir ou se autodestruir. Se for confirmado um usuário administrativo ou financeiro, o ataque avança para [[t1021-remote-services|movimentação lateral]] ou extração de credenciais com [[t1003-os-credential-dumping|T1003]]. ## Detecção **Fontes de dados:** - **Sysmon Event ID 1 / Windows Event ID 4688 (Process Creation):** Monitorar execuções de `whoami.exe`, `net.exe` com argumentos `user` ou `localgroup`, `query.exe session`. Fora do contexto de administração legítima, esses comandos em sequência rápida são indicador forte de reconhecimento. - **Command History (Linux):** Verificar `~/.bash_history` para uso de `id`, `w`, `who`, `last` em horários atípicos ou por usuários não interativos. - **Windows Event ID 4798 / 4799:** Auditoria de enumeração de membros de grupos locais e de consultas a contas de usuário. - **EDR telemetry:** Correlacionar execuções de comandos de descoberta em sequência (T1033 → T1082 → T1016) - o padrão de "tiro de metralhadora" de discovery indica comprometimento ativo. **Sigma Rule:** ```yaml title: Suspicious User Discovery Command Execution id: c3f1a8b2-7d4e-4a9b-b2c1-3e5f7a9b1c3d status: experimental description: Detecta execução em sequência de comandos típicos de enumeração de usuários logsource: product: windows category: process_creation detection: selection: Image|endswith: - '\whoami.exe' - '\net.exe' - '\net1.exe' - '\query.exe' CommandLine|contains: - 'whoami' - 'net user' - 'net localgroup' - 'query user' - 'query session' filter_admin_tools: ParentImage|contains: - '\mmc.exe' - '\ServerManager.exe' condition: selection and not filter_admin_tools falsepositives: - Scripts de inventário legítimos de TI - Ferramentas de monitoramento de RMM (N-able, ConnectWise, etc.) level: low tags: - attack.discovery - attack.t1033 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Restrição de execução de ferramentas de sistema | Em estações de usuários finais, considerar bloquear via AppLocker a execução de `whoami.exe`, `net.exe` e `query.exe` por processos não administrativos. Reduz superfície sem impacto operacional real para usuários comuns. | | Logging granular | Habilitar auditoria de criação de processos (GPO: Audit Process Creation) com inclusão de linha de comando. Sem isso, T1033 é virtualmente invisível nos logs padrão do Windows. | | Behavioral Analytics (UEBA) | Soluções de UEBA identificam quando um usuário ou processo executa dezenas de comandos de discovery em segundos - padrão impossível para uso humano legítimo. Ferramentas como Splunk UBA, Microsoft Sentinel ou Elastic SIEM têm regras prontas para esse padrão. | | Hardening de contas privilegiadas | Limitar o número de usuários com privilégios administrativos locais. Quanto menos contas `Administrator` locais existirem, menor o valor para o atacante confirmar via T1033. | ## Threat Actors que Usam - [[g0082-apt38|APT38]] - usa T1033 em operações de comprometimento a sistemas SWIFT e bancos, confirmando acesso a terminais financeiros antes de avançar. - [[g1036-moonstone-sleet|Moonstone Sleet]] - grupo norte-coreano que enumera usuários em ambientes de desenvolvimento de software e defesa para confirmar acesso a engenheiros seniores. - [[g0061-fin8|FIN8]] - especializado em ataques ao varejo e hospitality; identifica usuários de POS (Point of Sale) antes de implantar scrapers de cartão. - [[g0004-apt15|Ke3chang]] - APT chinês com histórico de espionagem diplomática na América Latina e Europa; usa T1033 para mapear analistas-alvo em ministérios. - [[g0046-fin7|FIN7]] - grupo de cibercrime financeiro que realiza T1033 como parte sistemática de perfilamento de ambiente em ataques BEC e fraude corporativa. - [[g0125-silk-typhoon|HAFNIUM]] - explorou Exchange Servers; usa T1033 para confirmar contas de alto valor antes de exfiltrar e-mails sensíveis. - [[g1035-winter-vivern|Winter Vivern]] - APT bielorrusso/russo; usa discovery de usuário em campanhas de espionagem contra jornalistas e organizações governamentais. - [[g0073-apt19|APT19]] - grupo chinês com foco em escritórios de advocacia e consultorias; T1033 alimenta seleção de alvos de alto valor dentro da organização comprometida. - [[g0051-fin10|FIN10]] - grupo canadense de extorsão; identifica usuários administrativos para escalar acesso e exfiltrar dados antes do impacto. - [[g0050-apt32|APT32]] - APT vietnamita (OceanLotus) com histórico de ataques a empresas no Brasil e LATAM; usa T1033 para confirmar acesso a executivos e equipes de P&D. ## Software Associado - [[s0094-trojankaragany|Trojan.Karagany]] (malware) - [[s0428-poetrat|PoetRAT]] (malware) - [[s0379-revenge-rat|Revenge RAT]] (malware) - [[s0694-dratzarus|DRATzarus]] (malware) - [[s0266-trickbot|TrickBot]] (malware) - [[s0596-shadowpad|ShadowPad]] (malware) - [[squirrelwaffle|Squirrelwaffle]] (malware) - [[s0367-emotet|Emotet]] (malware) - [[s0590-nbtscan|NBTscan]] (ferramenta) - [[s0272-ndiskmonitor|NDiskMonitor]] (malware) --- *Fonte: [MITRE ATT&CK - T1033](https://attack.mitre.org/techniques/T1033)*