# T1098.007 - Additional Local or Domain Groups
## Técnica Pai
Essa é uma sub-técnica de [[t1098-account-manipulation|T1098 - Manipulação de Conta]].
## Descrição
Adversários adicionam contas já existentes - ou contas recém-criadas - a grupos locais ou de domínio para ampliar privilégios e garantir persistência. Em vez de criar uma nova conta do zero, a técnica opera sobre contas já presentes no ambiente, modificando apenas sua associação de grupo. Isso torna a atividade mais difícil de detectar, pois a conta em si não é nova - apenas seus privilégios foram expandidos.
A adição a grupos estratégicos concede ao adversário capacidades que persistem além da sessão comprometida: acesso remoto via RDP, capacidade de executar comandos com privilégio elevado, acesso à VPN corporativa ou mesmo controle sobre toda a infraestrutura de domínio Windows.
Grupos como [[g0096-apt41|APT41]], [[g0094-kimsuky|Kimsuky]] e [[g0035-dragonfly|Dragonfly]] utilizam essa técnica como parte do ciclo de escalada de privilégio pós-comprometimento, frequentemente combinando com [[t1136-001-local-account|T1136.001 - Local Account]] para maximizar o foothold.
## Grupos de Alto Valor por Plataforma
### Windows - Grupos Críticos
| Grupo | Impacto se comprometido |
|-------|------------------------|
| `Administrators` | Controle total do sistema local |
| `Domain Admins` | Controle de toda a infra Windows do domínio |
| `Remote Desktop Users` | Acesso RDP sem exigir admin local |
| `Backup Operators` | Acesso a todos os arquivos, contorna permissões NTFS |
| `Network Configuration Operators` | Modificar configurações de rede |
| `VPN Users` | Acesso persistente à rede interna via VPN |
### Linux - Grupos Críticos
| Grupo | Impacto se comprometido |
|-------|------------------------|
| `sudo` / `wheel` | Execução de comandos como root |
| `docker` | Escape de container para host root |
| `shadow` | Leitura de hashes de senhas |
| `disk` | Acesso direto a dispositivos de bloco |
## Comandos por Plataforma
**Windows - grupos locais:**
```cmd
net localgroup Administrators {usuario} /add
net localgroup "Remote Desktop Users" {usuario} /add
net localgroup "Backup Operators" {usuario} /add
```
**Windows - grupos de domínio:**
```cmd
net group "Domain Admins" {usuario} /add /domain
net group "Enterprise Admins" {usuario} /add /domain
```
**Windows - machine account em grupos de domínio (SYSTEM → domínio):**
```powershell
Add-ADGroupMember -Identity "Domain Admins" -Members "{computador}
quot;
```
**Linux:**
```bash
usermod -aG sudo {usuario}
usermod -aG docker {usuario}
usermod -aG shadow {usuario}
```
**macOS:**
```bash
dscl . -append /Groups/admin GroupMembership {usuario}
```
## Attack Flow
```mermaid
graph TB
A([Conta comprometida / criada]) --> B{Objetivo do adversário}
B -->|Acesso remoto| C[Adicionar ao grupo RDP]
B -->|Escalada de privilégio| D[Adicionar ao grupo Administrators]
B -->|Persistência de domínio| E[Adicionar ao grupo Domain Admins]
B -->|Acesso à rede| F[Adicionar ao grupo VPN]
B -->|Privilégio root Linux| G[Adicionar ao grupo sudo/wheel]
C --> H[RDP habilitado para a conta]
D --> I[Controle total do endpoint]
E --> J[Controle de toda a infra AD]
F --> K[Acesso à rede interna remoto]
G --> L[Execução como root via sudo]
H & I & J & K & L --> M([Persistência com alto privilégio])
M --> N[Lateral movement para outros sistemas]
M --> O[Exfiltração de dados / ransomware]
```
## Caso Especial: Machine Accounts no Domínio
Uma variante especialmente perigosa envolve adicionar a **machine account** de um computador comprometido a grupos de domínio de alto privilégio. Isso permite que o processo `SYSTEM` local - que roda sob a identidade da machine account (`COMPUTADOR