# T1069.001 - Grupos Locais ## Técnica Pai Esta é uma sub-técnica de [[t1069-permission-groups-discovery|T1069 - T1069 - Permission Groups Discovery]]. ## Descrição Durante a fase de reconhecimento interno, adversários buscam mapear os grupos locais de um sistema para entender como as permissões estão organizadas. Esse mapeamento revela quais usuários possuem privilégios elevados - especialmente membros do grupo local de Administradores - e orienta as próximas etapas da intrusão, como movimentação lateral e escalonamento de privilégios. A técnica é executada de forma simples e direta: ferramentas nativas do sistema operacional já oferecem todos os recursos necessários. No Windows, o comando `net localgroup` lista os grupos disponíveis e seus membros. No macOS, `dscl . -list /Groups` cumpre a mesma função. Em sistemas Linux, comandos como `groups`, `getent group` e `cat /etc/group` entregam informações equivalentes. Como essas são ferramentas legítimas do sistema, a enumeração muitas vezes passa despercebida por controles tradicionais baseados apenas em assinatura. Grupos de interesse para o atacante incluem Administradores locais, Operadores de Backup, Usuários de Desktop Remoto e grupos customizados criados por aplicações corporativas. Cada um representa uma superfície de ataque diferente: acesso a arquivos, execução remota, ou controle sobre serviços críticos. Ferramentas como [[s0521-bloodhound|BloodHound]] automatizam essa coleta em escala, combinando dados de grupos locais com informações do Active Directory para traçar caminhos de escalonamento. **Contexto Brasil/LATAM:** No Brasil, a técnica é amplamente utilizada por grupos como [[g1017-volt-typhoon|Volt Typhoon]] e [[g0049-oilrig|OilRig]] em intrusões contra setores de energia e telecomúnicações. Ambientes corporativos brasileiros frequentemente mantêm grupos locais com membros excessivos - herança de configurações históricas sem revisão periódica - o que amplifica o valor desta técnica para o atacante. Incidentes documentados no setor financeiro e de infraestrutura crítica no Brasil evidênciam o uso de enumeração de grupos locais como etapa imediata após a obtenção do primeiro acesso. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Enumeração de Usuários] B --> C[**Grupos Locais T1069.001**] C --> D[Escalonamento de Privilégios] D --> E[Movimentação Lateral] ``` ## Como Funciona 1. **Preparação** - O atacante já possui execução de código no sistema alvo (shell, agente de C2, acesso via RDP). Nenhuma ferramenta adicional é necessária além das utilitárias nativas do SO. 2. **Execução** - São emitidos comandos para listar grupos locais e seus membros. No Windows, `net localgroup` exibe todos os grupos; `net localgroup Administrators` lista os membros do grupo de administradores. Em Linux, `getent group sudo` identifica usuários com acesso sudo. Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]] e [[s0378-poshc2|PoshC2]] têm módulos nativos para essa enumeração. 3. **Pós-execução** - Os resultados são correlacionados com dados de outros módulos de discovery ([[t1087-001-local-account|T1087.001 - Contas Locais]], [[t1033-system-owner-user-discovery|T1033]]) para montar um mapa completo de privilégios. Ferramentas como [[s0521-bloodhound|BloodHound]] e [[s0692-silenttrinity|SILENTTRINITY]] automatizam essa correlação e geram visualizações de caminhos de ataque. **Exemplo:** ```bash # Artefato de detecção: enumeração de grupos locais via comandos nativos # Windows - gera eventos no Security Log (Event ID 4799) net localgroup net localgroup Administrators # Linux - visível em auditd (syscall getgrgid / open /etc/group) getent group sudo cat /etc/group | grep -v "^#" ``` ## Detecção **Fontes de dados:** Windows Security Log (Event ID 4799 - grupo local enumerado, 4798 - membro de grupo consultado), Sysmon Event ID 1 (criação de processo com `net.exe`), auditd em Linux (syscall `open` em `/etc/group`, `getgrgid`), EDR telemetria de linha de comando. ```yaml title: Local Group Enumeration via Net.exe id: a3f72b1c-9d44-4e8a-bc3f-1d5e7a0c6f92 status: experimental description: Detects enumeration of local groups using the native net.exe utility logsource: category: process_creation product: windows detection: selection: Image|endswith: '\net.exe' CommandLine|contains: - 'localgroup' condition: selection falsepositives: - Administrative activity - Inventory scripts level: medium tags: - attack.discovery - attack.t1069.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1028-operating-system-configuration\|M1028 - Configuração do SO]] | Revise membros de grupos locais privilegiados periodicamente; remova contas desnecessárias do grupo Administrators local | | [[m1026-privileged-account-management\|M1026 - Gestão de Contas Privilegiadas]] | Implemente o princípio do menor privilégio; evite membros excessivos em grupos locais administrativos em workstations corporativas | ## Referências *Fonte: [MITRE ATT&CK - T1069.001](https://attack.mitre.org/techniques/T1069/001)*