t1087-account-discovery

# T1087 - Account Discovery ## Descrição **Account Discovery** é uma técnica de reconhecimento pós-acesso em que adversários enumeram contas de usuário válidas - nomes de login, e-mails, grupos e permissões - dentro do ambiente comprometido. O objetivo é mapear a superfície de identidade antes de executar movimentações laterais, ataques de força bruta ou campanhas de spear-phishing direcionadas a contas privilegiadas. No contexto **brasileiro e latino-americano**, essa técnica é amplamente empregada por grupos como [[g1016-fin13|FIN13]] durante intrusões contra bancos e processadoras de pagamento no México e no Brasil. O grupo explora ambientes com Active Directory mal segmentado para enumerar contas de administradores de domínio e operadores de sistemas financeiros. [[g1015-scattered-spider|Scattered Spider]], por sua vez, utiliza engenharia social combinada com enumeração de contas SaaS (Microsoft 365, Okta) para comprometer organizações de telecomúnicações - setor crítico na América Latina. A técnica possui quatro sub-técnicas principais: [[t1087-001-local-account|T1087.001 - Local Account]], [[t1087-002-domain-account|T1087.002 - Domain Account]], [[t1087-003-email-account|T1087.003 - Email Account]] e [[t1087-004-cloud-account|T1087.004 - Cloud Account]]. Em ambientes híbridos - comuns em empresas brasileiras que migraram parcialmente para nuvem - todas as quatro variantes podem ser exploradas na mesma intrusão. > [!warning] Relevância LATAM > Organizações brasileiras nos setores financeiro e governamental são alvos frequentes de enumeração de contas via LDAP, Microsoft Graph API e ferramentas como [[s0445-shimratreporter|ShimRatReporter]]. A fraca segmentação de Active Directory em ambientes legados amplifica o risco. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Execução]) B --> C([Persistência]) C --> D(["T1087<br/>Account Discovery"]):::highlight D --> E([T1078 - Valid Accounts]) D --> F([Movimentação Lateral]) D --> G([Spear-Phishing Direcionado]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **Passo 1 - Enumeração local e de domínio** Após ganhar acesso inicial, o adversário executa comandos nativos para listar contas. No Windows, `net user`, `net group "Domain Admins"` e [[t1059-001-powershell|PowerShell]] com `Get-ADUser` são os vetores mais comuns. Em Linux, `cat /etc/passwd` e `id` expõem usuários locais. Em ambientes ESXi, ferramentas como `esxcli` podem listar contas de administração do hypervisor. **Passo 2 - Enumeração em nuvem e SaaS** Em ambientes Microsoft 365 ou Google Workspace, o adversário usa APIs nativas (Microsoft Graph, Azure AD) ou ferramentas como [[s1229-havoc|Havoc]] para listar usuários, grupos e permissões. O [[g1015-scattered-spider|Scattered Spider]] é conhecido por abusar de APIs de provedores de identidade (Okta, Azure AD) para mapear contas antes de executar MFA fatigue attacks. **Passo 3 - Correlação e seleção de alvos** Com a lista de contas obtida, o adversário correlaciona nomes de usuário com papéis organizacionais (administradores, operadores financeiros, equipes de TI) para priorizar alvos de alto valor. Essa etapa alimenta diretamente ataques de [[t1078-valid-accounts|Valid Accounts]], movimentação lateral e campanhas de spear-phishing interno. --- ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4798 | Security | Enumeração de membros de grupo local de usuário | | 4799 | Security | Enumeração de grupos locais com segurança | | 4661 | Security | Handle solicitado para objeto do AD (LDAP enum) | | 4625 | Security | Falha de logon (força bruta pós-enumeração) | | 7045 | System | Novo serviço instalado (ferramenta de enum persistente) | ### Sigma Rule ```yaml title: Suspicious Account Enumeration via Net Commands id: a9b3c2d1-4e5f-6789-abcd-ef0123456789 status: experimental description: > Detecta enumeração de contas de domínio e grupos via comandos net.exe, padrão associado à T1087.002 - Domain Account Discovery. author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection_net: CommandLine|contains: - 'net user' - 'net group' - 'net localgroup' - 'net accounts' selection_domain_flags: CommandLine|contains: - '/domain' - 'Domain Admins' - 'Enterprise Admins' condition: selection_net and selection_domain_flags falsepositives: - Administradores de sistema realizando auditorias legítimas - Scripts de onboarding corporativo level: medium tags: - attack.discovery - attack.t1087.002 ``` --- ## Mitigação | Controle | Descrição | Prioridade para Org. Brasileiras | |----------|-----------|----------------------------------| | [[m1018-user-account-management\|M1018 - Gestão de Contas]] | Aplicar princípio de menor privilégio; revisar grupos privilegiados mensalmente | Alta - Active Directory legado com grupos inflados é norma em bancos e órgãos públicos | | [[m1028-operating-system-configuration\|M1028 - Configuração de SO]] | Restringir acesso anônimo ao Active Directory (null sessions); desabilitar LDAP não autenticado | Alta - CVE-2017-8563 e variantes ainda exploradas em ambientes sem patch | | Monitoramento de LDAP | Logar consultas LDAP anômalas (alto volume, fora do horário comercial) em SIEM | Média - requer integração Active Directory com SIEM (Splunk, Microsoft Sentinel) | | MFA para contas de administrador | Exigir MFA em todas as contas com privilégios de domínio | Alta - critical gap em PMEs brasileiras | | Segmentação de SaaS | Restringir chamadas à Microsoft Graph API e Okta API a IPs corporativos conhecidos | Média - essencial para organizações que usam Microsoft 365 + Okta | --- ## Threat Actors que Usam ### [[g1016-fin13|FIN13]] Grupo de crime financeiro focado no México e Brasil, ativo desde 2016. Utiliza enumeração de domínio (net commands, LDAP) para mapear contas de operadores de sistemas bancários e ATM antes de executar fraudes financeiras. Registros de comprometimentos de instituições financeiras brasileiras associados ao grupo incluem uso de [[s1065-woody-rat|Woody RAT]] para persistência pós-enumeração. ### [[g1015-scattered-spider|Scattered Spider]] Grupo anglófono especializado em ataques a telecomúnicações e SaaS. Combina engenharia social (SIM swapping, impersonation de help desk) com enumeração de contas em Okta e Azure AD. Relevante para operadoras brasileiras como Vivo, Claro e TIM, que utilizam plataformas de identidade em nuvem. ### [[g0143-aquatic-panda|Aquatic Panda]] APT chinês (nexo com Volt Typhoon/BRONZE UNIVERSITY) com histórico de intrusões em setores de telecomúnicações e governo. Usa [[t1059-001-powershell|PowerShell]] e LDAP para enumerar contas em ambientes comprometidos antes de mover-se lateralmente. --- ## Software Associado | Software | Tipo | Uso em T1087 | |----------|------|--------------| | [[s0445-shimratreporter\|ShimRatReporter]] | Ferramenta | Coleta e exfiltra informações de contas locais e de domínio | | [[s1065-woody-rat\|Woody RAT]] | Malware | Executa comandos de enumeração remotamente; usado pelo FIN13 | | [[s1229-havoc\|Havoc]] | Framework C2 | Módulos de enumeração de AD e Azure AD | | [[s1239-toneshell\|TONESHELL]] | Malware | Backdoor usado pelo Mustang Panda; coleta dados de conta do sistema | | [[s0658-xcsset\|XCSSET]] | Malware | macOS - enumera contas e perfis de navegador | --- ## Sub-técnicas - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1087-003-email-account|T1087.003 - Email Account]] - [[t1087-004-cloud-account|T1087.004 - Cloud Account]]