# T1136.001 - Local Account ## Técnica Pai Essa é uma sub-técnica de [[t1136-create-account|T1136 - Criação de Conta]]. ## Descrição Adversários criam contas locais em sistemas comprometidos para garantir acesso persistente mesmo que credenciais originais sejam revogadas, senhas alteradas ou o vetor de acesso inicial sejá bloqueado. Contas locais são configuradas diretamente no sistema operacional e não dependem de diretório de domínio - o que as torna mais difíceis de rastrear em ambientes corporativos que monitoram apenas o Active Directory. A criação de conta local é uma das formas mais simples e eficazes de persistência: não requer implantar malware adicional, utiliza funcionalidades nativas do sistema operacional e frequentemente passa despercebida em ambientes com revisão de contas irregular. Grupos como [[g0102-conti-group|Wizard Spider]], [[g0096-apt41|APT41]], [[g0094-kimsuky|Kimsuky]] e [[g1016-fin13|FIN13]] fazem uso recorrente dessa técnica após o acesso inicial, geralmente criando contas com nomes que imitam serviços legítimos do sistema para passar despercebidos. ## Comandos por Plataforma **Windows:** ```cmd net user /add {usuario} {senha} net localgroup Administrators {usuario} /add ``` **Linux:** ```bash useradd -m -s /bin/bash {usuario} usermod -aG sudo {usuario} echo "{usuario}:{senha}" | chpasswd ``` **macOS:** ```bash dscl . -creaté /Users/{usuario} dscl . -passwd /Users/{usuario} {senha} dscl . -append /Groups/admin GroupMembership {usuario} ``` **Dispositivos de rede (Cisco IOS):** ``` username {usuario} privilege 15 secret {senha} ``` **VMware ESXi:** ```bash esxcli system account add -i {usuario} -p {senha} ``` **Kubernetes:** ```bash kubectl creaté serviceaccount {usuario} kubectl creaté clusterrolebinding {usuario}-binding \ --clusterrole=cluster-admin --serviceaccount=default:{usuario} ``` ## Attack Flow ```mermaid graph TB A([Acesso Inicial ao Sistema]) --> B{Plataforma} B -->|Windows| C[net user /add] B -->|Linux| D[useradd / adduser] B -->|macOS| E[dscl -creaté] B -->|Network Device| F[username command] B -->|ESXi| G[esxcli system account add] C --> H[Adicionar ao grupo Administrators] D --> I[Adicionar ao grupo sudo] E --> J[Adicionar ao grupo admin] F --> K[Definir privilege level 15] G --> L[Atribuir papel de admin] H & I & J & K & L --> M([Conta local com privilégio elevado]) M --> N[Acesso persistente independente do vetor inicial] N --> O[Lateral movement futuro] N --> P[Acesso RDP / SSH remoto] ``` ## Impacto e Relevância para LATAM Essa técnica é amplamente usada por grupos que operam na América Latina. O [[g1016-fin13|FIN13]], grupo especializado em ataques a instituições financeiras mexicanas e brasileiras, emprega criação de contas locais como parte do seu playbook pós-comprometimento. O [[g0102-conti-group|Wizard Spider]], responsável por operações de ransomware que afetaram hospitais e empresas no Brasil, também faz uso extensivo dessa técnica para garantir reacesso mesmo após tentativas de remediação parcial. | Fator | Avaliação | |-------|-----------| | Frequência de uso | Muito alta - presente em quase toda intrusão avançada | | Facilidade de execução | Baixa - requer apenas acesso admin | | Detecção sem ferramentas | Difícil - contas locais raramente auditadas | | Impacto pós-comprometimento | Alto - garante reacesso independente | | Relevância LATAM | Alta - FIN13, operações de ransomware | ## Detecção - Monitorar criação de contas locais via eventos do Windows: `Event ID 4720` (conta criada), `4732` (membro adicionado a grupo local) - Em Linux, monitorar modificações em `/etc/passwd`, `/etc/shadow` e `/etc/group` - Alertar para contas criadas fora do processo de provisionamento padrão (horários atípicos, criação por processos não-administrativos) - Correlacionar com execução de `net user /add` capturada em logs de processo (Sysmon Event ID 1) - Em ambientes de rede, auditar mudanças de configuração de usuários via [[t1059-008-network-device-cli|Network Device CLI]] - Verificar regularmente contas locais em todos os endpoints via inventário automatizado ## Mitigações | ID | Mitigação | Aplicação | |----|-----------|-----------| | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | MFA | Exigir MFA para login de contas locais, especialmente em acesso remoto (RDP, SSH). Dificulta o uso da conta mesmo que ela sejá criada. | | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Gestão de contas privilegiadas | Auditar regularmente contas locais em todos os endpoints. Remover contas não autorizadas. Limitar quem pode criar novas contas. | ## Threat Actors que Usam - [[g0102-conti-group|Wizard Spider]] - ransomware, operações contra hospitais e financeiras - [[g0096-apt41|APT41]] - espionagem e crime financeiro, alvos globais incluindo LATAM - [[g1023-apt5|APT5]] - espionagem com foco em telecomúnicações e tecnologia - [[g0035-dragonfly|Dragonfly]] - ataques a infraestrutura crítica (energia) - [[g0117-fox-kitten|Fox Kitten]] - intermediário iraniano, acesso inicial para outros grupos - [[g1016-fin13|FIN13]] - crime financeiro especializado em México e Brasil - [[g0094-kimsuky|Kimsuky]] - espionagem norte-coreana, pesquisa e governo - [[g0059-magic-hound|Magic Hound]] - APT iraniano, phishing e acesso inicial - [[g0119-indrik-spider|Indrik Spider]] - ransomware BitPaymer/WastedLocker - [[g0139-teamtnt|TeamTNT]] - ataques a containers e ambientes cloud/Kubernetes ## Software Associado - [[s0394-hiddenwasp|HiddenWasp]] - malware Linux que cria usuários backdoor no sistema - [[s0493-goldenspy|GoldenSpy]] - spyware que instala contas de acesso ocultas - [[s0363-empire|Empire]] - framework de pós-exploração com módulos de criação de contas - [[s0649-smokedham|SMOKEDHAM]] - backdoor .NET que cria contas locais para persistência - [[s0143-flame|Flame]] - malware de espionagem complexo com capacidade de criar contas - [[s0382-servhelper|ServHelper]] - backdoor que cria contas de serviço para persistência - [[s0192-pupy|Pupy]] - RAT open-source com módulos de persistência via contas locais - [[darkgaté|DarkGaté]] - loader com funcionalidades de criação de contas --- *Fonte: MITRE ATT&CK - T1136.001 (https://attack.mitre.org/techniques/T1136/001)*