# T1087.001 - Local Account ## Técnica Pai Esta é uma sub-técnica de [[t1087-account-discovery|T1087 - T1087 - Account Discovery]]. ## Descrição A enumeração de contas locais é uma das primeiras ações de reconhecimento interno executadas por adversários após obter acesso a um sistema. O objetivo é mapear quais usuários existem na máquina comprometida para identificar alvos com privilégios elevados - como contas de administrador local, contas de serviço ou usuários com acesso a recursos sensíveis - que possam facilitar o movimento lateral ou a escalação de privilégios. No Windows, os comandos `net user` e `net localgroup` são os vetores mais comuns, sendo nativos do sistema e raramente monitorados em ambientes com maturidade baixa de detecção. Em sistemas Linux, a leitura direta do arquivo `/etc/passwd` ou o uso de `id` e `groups` fornece o mesmo resultado com práticamente nenhum ruído. Em macOS, o comando `dscl . list /Users` cumpre esse papel; em servidores ESXi, o `esxcli system account list` expõe contas locais do hipervisor - um vetor particularmente preocupante em ambientes de virtualização. **Contexto Brasil/LATAM:** Em incidentes investigados no Brasil e na América Latina, a enumeração de contas locais é frequentemente executada via scripts [[s0039-net|Net]] durante os primeiros minutos após a exploração inicial, especialmente em ataques de ransomware como [[qilin|Qilin]] e em campanhas de espionagem corporativa conduzidas por grupos como [[g1039-redcurl|RedCurl]]. Ambientes corporativos brasileiros tendem a ter grande quantidade de contas locais legadas - herança de workstations não integradas ao Active Directory - o que amplifica o valor desta técnica para o atacante. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Execução de Shell] B --> C{"T1087.001<br/>Enumeração de<br/>Contas Locais"}:::highlight C --> D[Identificação de<br/>Alvos Privilegiados] D --> E[Escalação de Privilégios<br/>ou Movimento Lateral] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação:** O adversário já possui acesso ao sistema - via exploit, phishing ou credencial comprometida - e inicia uma sessão de shell (cmd.exe, PowerShell, bash ou SSH). O objetivo nesta fase é mapear silenciosamente o ambiente sem gerar alertas, priorizando ferramentas nativas do sistema operacional. **Execução:** No Windows, os comandos `net user` e `net localgroup Administrators` são os mais utilizados por sua simplicidade e ubiquidade. Em Linux, a leitura de `/etc/passwd` com `cat /etc/passwd | grep -v nologin` revela usuários com shell interativo. Em ambientes ESXi, `esxcli system account list` expõe contas do hipervisor. Ferramentas como [[s0331-agent-tesla|Agent Tesla]] e [[s0223-powerstats|POWERSTATS]] automatizam essa coleta como parte de sua rotina de reconhecimento pós-infecção. **Pós-execução:** Os dados coletados são usados para selecionar a próxima vítima de escalação ou movimento lateral. Grupos como [[g0096-apt41|APT41]] e [[g1017-volt-typhoon|Volt Typhoon]] documentam essa saída internamente para priorizar targets de alto valor dentro da rede. Em ataques de ransomware, o mapeamento de contas locais com senhas fracas ou reutilizadas é o pré-requisito direto para propagação automática. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4798 | Security | Enumeração de grupos de um usuário local | | 4799 | Security | Enumeração de membros de grupo de segurança local | | 4688 | Security | Criação de novo processo (net.exe, net1.exe) | | 1 | Sysmon | Criação de processo com linha de comando suspeita | **Sigma Rule:** ```yaml title: Local Account Enumeration via Net Commands id: 7b3e1f2a-4c5d-4e6f-8a9b-0c1d2e3f4a5b status: stable description: > Detecta uso de net.exe ou net1.exe para enumerar contas e grupos locais, comum em fases de reconhecimento pós-comprometimento. logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\net.exe' - '\net1.exe' CommandLine|contains: - 'user' - 'localgroup' condition: selection falsepositives: - Scripts legítimos de inventário de TI - Ferramentas de helpdesk level: medium tags: - attack.discovery - attack.t1087.001 ``` ## Mitigação | Controle | Mitigação | Recomendação para Organizações Brasileiras | |----------|-----------|---------------------------------------------| | M1028 | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Limitar quem pode executar `net user` via GPO; desabilitar execução por usuários padrão | | Princípio do menor privilégio | Hardening de contas | Remover contas locais legadas inativas - comum em workstations legadas no parque BR | | Monitoramento de comandos | SIEM / EDR | Alertar sobre execução de `net localgroup Administrators` fora de jánelas de manutenção | | AppLocker / WDAC | Controle de execução | Bloquear execução de `net.exe` por usuários não administrativos em estações de trabalho | | Inventário de contas | Governança de identidade | Auditar trimestralmente contas locais - prática crítica em ambientes sem AD centralizado | ## Threat Actors que Usam - [[g0004-apt15|Ke3chang]] - grupo chinês de espionagem que enumera contas locais em servidores de governo para identificar credenciais de acesso a sistemas críticos - [[g1009-moses-staff|Moses Staff]] - ator israelense/iraniano que usa enumeração local como parte de operações destrutivas contra infraestrutura - [[g1051-medusa-ransomware|Medusa Group]] - grupo de ransomware que mapeia contas locais para escalar privilégios antes da criptografia em massa - [[g0049-oilrig|OilRig]] - APT iraniano que usa ferramentas customizadas para enumerar usuários em vítimas do setor financeiro e governamental do Oriente Médio - [[g0096-apt41|APT41]] - grupo chinês de duplo propósito (espionagem + financeiro) que automatiza enumeração de contas como parte de tooling de reconhecimento - [[g0030-raspberry-typhoon|Lotus Blossom]] - APT chinês focado em governos do Sudeste Asiático, usa enumeração local para identificar contas de domínio com acesso a documentos classificados - [[g0050-apt32|APT32]] - grupo vietnamita (OceanLotus) que usa enumeração de contas em campanhas contra empresas brasileiras e latinoamericanas no setor de manufatura - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês focado em infraestrutura crítica; usa exclusivamente ferramentas nativas (LOTL) para enumerar contas sem acionar EDRs - [[g1044-apt42|APT42]] - grupo iraniano de espionagem que combina enumeração de contas com coleta de credenciais para comprometer contas de alto valor - [[g1039-redcurl|RedCurl]] - grupo de espionagem corporativa com histórico documentado de ataques a empresas brasileiras, usa enumeração de contas locais para identificar funcionários de RH e financeiro ## Software Associado - [[s0452-usbferry|USBFerry]] - malware de espionagem que enumera usuários locais como parte de seu módulo de reconhecimento em air-gapped networks - [[s0331-agent-tesla|Agent Tesla]] - RAT amplamente utilizado no Brasil; coleta informações de contas locais automaticamente após infecção - [[s0236-kwampirs|Kwampirs]] - worm de espionagem que varre contas locais em sistemas de saúde para propagar lateralmente - [[s0039-net|Net]] - ferramenta nativa do Windows; o abuso de `net user` e `net localgroup` é o método mais documentado desta técnica - [[s0196-punchbuggy|PUNCHBUGGY]] - downloader que executa reconhecimento de contas locais antes de baixar payloads adicionais - [[s1146-mgbot|MgBot]] - implant modular do APT41 com módulo dedicado de enumeração de contas e credenciais - [[s0223-powerstats|POWERSTATS]] - backdoor do OilRig que coleta informações de usuários locais e as exfiltra para C2 - [[s0038-duqu|Duqu]] - malware de espionagem sofisticado que mapeia contas locais como parte de seu módulo de reconhecimento de ambiente - [[s0049-geminiduke|GeminiDuke]] - implant do APT29 que inclui capacidade de enumeração de usuários locais em sua rotina de coleta de informações - [[qilin|Qilin]] - ransomware-as-a-service ativo no Brasil; mapeia contas locais para identificar alvos de escalação antes do deploy do ransom --- *Fonte: [MITRE ATT&CK - T1087.001](https://attack.mitre.org/techniques/T1087/001)*