t1098-account-manipulation

# T1098 - Account Manipulation ## Descrição Adversários manipulam contas existentes para manter e/ou elevar o acesso a sistemas comprometidos ao longo do tempo. A técnica abrange qualquer ação que preserve ou amplie o acesso adversário a uma conta: modificação de credenciais, adição a grupos de permissão, concessão de roles adicionais em ambientes cloud, ou ações projetadas para contornar políticas de segurança - como atualizações iterativas de senha para driblar políticas de expiração e preservar a utilidade de credenciais comprometidas. Diferentemente de [[t1136-create-account|T1136 - Creaté Account]], que cria novas identidades detectáveis, a manipulação de contas existentes é mais difícil de identificar porque opera dentro do ciclo de vida normal de uma conta legítima. Um administrador adicionado a um grupo de domínio ou uma conta de serviço com uma nova chave SSH autorizada pode parecer uma atividade operacional rotineira, especialmente em ambientes grandes com alta rotatividade de mudanças de configuração. Em ambientes modernos com identidade híbrida (Active Directory on-premises sincronizado com Microsoft Entra ID), a manipulação de uma conta pode ter impacto simultâneo em sistemas locais e na nuvem. Isso amplifica o raio de blast de uma única modificação de conta, potencialmente comprometendo acesso a recursos SaaS, ambientes IaaS e serviços de e-mail corporativo ao mesmo tempo. ## Como Funciona A manipulação de contas assume formas diferentes dependendo do ambiente alvo. Em infraestruturas Windows com Active Directory, o adversário geralmente adiciona a conta comprometida a grupos privilegiados como Domain Admins ou Enterprise Admins, ou modifica atributos de conta sensíveis como `adminCount`, `servicePrincipalName` (habilitando ataques Kerberoasting posteriores) ou configurações de delegação Kerberos irrestrita. Em ambientes cloud, o adversário pode adicionar credenciais extras a uma identidade existente - como chaves de acesso IAM da AWS ou certificados de autenticação no Entra ID - garantindo acesso alternativo mesmo que a senha original sejá redefinida. Em alguns casos, roles de alto privilégio (como Global Administrator no Entra ID) são atribuídas temporariamente a contas controladas pelo adversário, executando as ações necessárias, e depois removidas - minimizando o tempo de exposição no log de auditoria. Em sistemas Linux e macOS, o adversário adiciona chaves SSH ao arquivo `authorized_keys` de contas privilegiadas, estabelecendo acesso backdoor que sobrevive a redefinições de senha. Em ambientes Kubernetes, a criação ou modificação de ClusterRoleBindings permite ao adversário conceder a si mesmo permissões administrativas no cluster sem criar novos ServiceAccounts detectáveis. O grupo [[g1015-scattered-spider|Scattered Spider]] notabilizou-se pelo abuso de registros de dispositivos em provedores de identidade - adicionando dispositivos controlados pelo adversário ao Entra ID via engenharia social contra equipes de helpdesk, o que concedia tokens MFA válidos sem comprometer a senha do usuário. ## Attack Flow ```mermaid graph TB A([Acesso inicial - conta comprometida ou credencial obtida]) --> B[Reconhecimento de contas e estrutura de permissões] B --> C{Ambiente alvo} C -->|Active Directory| D[Adiciona conta a grupo privilegiado - Domain Admins] C -->|Cloud AWS/Azure/GCP| E[Atribui role privilegiada ou adiciona credencial extra] C -->|Linux/macOS| F[Adiciona chave SSH a authorized_keys] C -->|Exchange / Microsoft 365| G[Concede permissão de delegação de e-mail] C -->|Kubernetes| H[Atribui ClusterRole via RBAC] C -->|Entra ID / IdP| I[Registra dispositivo adversário para bypass de MFA] D --> J[Persistência com privilégios elevados] E --> J F --> J G --> J H --> J I --> J J --> K([Acesso persistente - sobrevive a reset de senha da conta original]) K --> LT1003 - Credential Dumping K --> MT1078 - Valid Accounts style A fill:#b91c1c,color:#fff style J fill:#d97706,color:#fff style K fill:#15803d,color:#fff ``` ## Exemplos de Uso **Scattered Spider (UNC3944):** O grupo, composto predominantemente por falantes nativos de inglês, utilizou engenharia social intensiva contra equipes de helpdesk de grandes corporações - incluindo MGM Resorts e Caesars Entertainment em 2023 - para registrar dispositivos MFA controlados pelo adversário no Microsoft Entra ID (T1098.005). Com o dispositivo registrado, o grupo obtinha tokens de autenticação válidos sem necessidade de conhecer a senha do usuário, contornando completamente os controles de MFA implementados. A técnica é documentada como um dos vetores de acesso preferidos do grupo para campanhas de ransomware e extorsão. **HAFNIUM:** O grupo de espionagem chinês responsável pela exploração em massa do Microsoft Exchange em 2021 utilizou as vulnerabilidades ProxyLogon/ProxyShell para adicionar permissões de delegação de e-mail a contas backdoor (T1098.002). Mesmo após a aplicação dos patches e remoção das webshells, as permissões de delegação persistiam nas caixas de correio comprometidas, permitindo ao grupo continuar acessando e-mails de executivos e pesquisadores semanas após a remediação inicial. **Lazarus Group:** Em operações de roubo financeiro, o [[g0032-lazarus-group|Lazarus Group]] adicionou credenciais extras (chaves de acesso) a identidades IAM existentes em contas cloud de instituições financeiras, evitando criar novas contas - mais visíveis nos logs de auditoria. A técnica permitia ao grupo manter acesso persistente a sistemas de pagamento e carteiras de criptomoedas mesmo após alertas de segurança ativados por outras atividades maliciosas. ## Sub-técnicas - [[t1098-001-additional-cloud-credentials|T1098.001 - Additional Cloud Credentials]] - [[t1098-002-additional-email-delegate-permissions|T1098.002 - Additional Email Delegaté Permissions]] - [[t1098-003-additional-cloud-roles|T1098.003 - Funções Adicionais em Nuvem]] - [[t1098-004-ssh-authorized-keys|T1098.004 - SSH Authorized Keys]] - [[t1098-005-device-registration|T1098.005 - Device Registration]] - [[t1098-006-additional-container-cluster-roles|T1098.006 - Additional Container Cluster Roles]] - [[t1098-007-additional-local-or-domain-groups|T1098.007 - Additional Local or Domain Groups]] ## Detecção ```yaml title: Account Manipulation - Privileged Group Membership Change status: stable logsource: category: process_creation product: windows detection: selection_eventid: EventID: - 4728 - 4732 - 4756 selection_groups: TargetUserName|contains: - 'Domain Admins' - 'Enterprise Admins' - 'Schema Admins' - 'Administrators' filter_known_admin: SubjectUserName|endswith: ' condition: selection_eventid and selection_groups and not filter_known_admin level: high ``` Fontes de detecção complementares por ambiente: | Ambiente | Evento a Monitorar | |----------|-------------------| | Windows AD | Event IDs 4728/4732/4756 (adição a grupos) e 4720/4722 (criação/ativação de conta) | | Azure/Entra ID | Azure AD Audit Logs - `Add member to role`, `Register device`, `Add credentials to application` | | AWS | CloudTrail - `AttachRolePolicy`, `AddUserToGroup`, `CreateAccessKey` para usuários existentes | | Linux | Auditd - modificações em `~/.ssh/authorized_keys` e `/etc/sudoers` | | Exchange/M365 | Unified Audit Log - `Add-MailboxPermission`, `Add-RecipientPermission` | | Kubernetes | API Server audit logs - `creaté rolebindings`, `creaté clusterrolebindings` | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1032-multi-factor-authentication\|M1032]] | Multi-factor Authentication | MFA resistente a phishing (FIDO2/hardware tokens) para todas as contas privilegiadas. Revisar e restringir políticas de registro self-service de dispositivos MFA em provedores de identidade. | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Usar contas dedicadas e separadas para administração. Implementar PAM (Privileged Access Management) com sessões gravadas e aprovação por múltiplos administradores para mudanças em grupos privilegiados. | | [[m1018-user-account-management\|M1018]] | User Account Management | Revisão periódica (ao menos semanal) de membros de grupos privilegiados, roles cloud e permissões de delegação de e-mail. Usar ferramentas de Identity Governance para detectar desvios de baseline. | | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrict File and Directory Permissions | Restringir permissões de escrita em arquivos `~/.ssh/authorized_keys`, `/etc/sudoers` e configurações de conta sensíveis a apenas processos de provisionamento autorizados. | | [[m1030-network-segmentation\|M1030]] | Network Segmentation | Isolar controladores de domínio e sistemas de identidade do restante da rede. Restringir quais sistemas podem fazer chamadas de API de administração para provedores de identidade. | | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Disable or Remove Feature or Program | Desabilitar funcionalidades não utilizadas como delegação de e-mail irrestrita, registro self-service de dispositivos e provisionamento automático de roles em ambientes cloud. | | [[m1028-operating-system-configuration\|M1028]] | Operating System Configuration | Aplicar GPOs restritivas para limitar modificações de contas por usuários sem privilégios. Habilitar Protected Users Security Group no Active Directory para contas críticas. | ## Contexto Brasil/LATAM No Brasil e na América Latina, a manipulação de contas é um vetor crítico especialmente relevante para o setor financeiro e para instituições governamentais. O Brasil possui um dos maiores sistemas de pagamento instantâneo do mundo - o PIX - processando trilhões de reais anualmente, tornando as instituições financeiras brasileiras alvos de alto valor para grupos como o [[g0032-lazarus-group|Lazarus Group]], historicamente focado em roubo de ativos financeiros digitais. A técnica é também relevante no contexto de ataques de ransomware que precedem a criptografia massiva: grupos como o ALPHV/BlackCat e o Cl0p documentaram o uso de manipulação de contas em ambientes híbridos de organizações brasileiras para garantir persistência e escalada de privilégios antes do deploy do ransomware. Adicionalmente, a adoção acelerada de Microsoft 365 e Google Workspace por empresas brasileiras de médio porte - frequentemente sem políticas adequadas de gerenciamento de identidade - cria superfícies de ataque amplas para sub-técnicas como T1098.002 (delegação de e-mail) e T1098.003 (roles adicionais em nuvem), muitas vezes sem monitoramento adequado dos logs de auditoria dessas plataformas. ## Referências - [[t1136-create-account|T1136 - Creaté Account]] - técnica complementar (criação vs. manipulação) - [[t1078-valid-accounts|T1078 - Valid Accounts]] - resultado do acesso mantido via manipulação - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - frequentemente precede a manipulação - [[g0032-lazarus-group|Lazarus Group]] - uso em operações de roubo financeiro - [[g1015-scattered-spider|Scattered Spider]] - uso via engenharia social e registro de dispositivos - [[g0125-silk-typhoon|HAFNIUM]] - uso via exploração do Exchange para delegação de e-mail - [[m1032-multi-factor-authentication|M1032 - Multi-factor Authentication]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[t1098-001-additional-cloud-credentials|T1098.001 - Additional Cloud Credentials]] - sub-técnica cloud - [[t1098-005-device-registration|T1098.005 - Device Registration]] - sub-técnica IdP/MFA bypass *Fonte: MITRE ATT&CK - T1098 (v16.2)*