# T1136.002 - Domain Account ## Técnica Pai Esta é uma sub-técnica de [[t1136-create-account|T1136 - Criação de Conta]]. ## Descrição Adversários criam contas de domínio para manter acesso persistente a ambientes comprometidos. Contas de domínio são gerenciadas pelo Active Directory Domain Services (AD DS) e fornecem acesso transversal a sistemas, serviços e recursos que fazem parte do domínio - tornando-as significativamente mais valiosas do que contas locais para fins de persistência lateral. Com nível de privilégio suficiente (tipicamente administrador de domínio ou operador de conta), um adversário pode criar uma conta de domínio usando o comando nativo `net user /add /domain` no Windows, ou via ferramentas como [[s0039-net|Net]], [[s0363-empire|Empire]] ou [[s0192-pupy|Pupy]]. Contas de domínio criadas por adversários servem como **acesso secundário credenciado**: mesmo que ferramentas de acesso remoto sejam detectadas e removidas, a conta permanece ativa no Active Directory, permitindo reconexão via protocolos legítimos como RDP, SMB ou WinRM - sem acionar alertas de implantação de malware. Esta técnica é particularmente eficaz em ambientes corporativos onde: - O monitoramento de criação de contas no AD é inexistente ou limitado - A rotatividade de usuários é alta, dificultando a identificação de contas espúrias - Políticas de nomenclatura de contas não são rigorosamente aplicadas - Contas de serviço são criadas frequentemente sem processo de aprovação formal Grupos como [[g0125-silk-typhoon|HAFNIUM]], [[g0102-conti-group|Wizard Spider]] e [[g0093-gallium|GALLIUM]] utilizam esta técnica para garantir persistência de longo prazo após o comprometimento inicial, especialmente em campanhas de espionagem e ransomware. ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Comprometimento inicial<br/>Credenciais privilegiadas obtidas] B --> C{Método de criação\nde conta de domínio} C --> D[net user /add /domain<br/>Comando nativo Windows] C --> E[Ferramentas pós-exploração<br/>Empire, Pupy, PsExec] C --> F[APIs do Active Directory<br/>LDAP / ADSI] D --> G[Conta de domínio criada<br/>no Active Directory] E --> G F --> G G --> H{Uso da conta} H --> I[Acesso via RDP<br/>Sem necessidade de malware] H --> J[Movimento lateral<br/>via SMB / WinRM] H --> K[Acesso a recursos<br/>do domínio e GPOs] I --> L([Persistência estabelecida]) J --> L K --> L ``` ## Técnicas Relacionadas | Técnica | Relação | |---------|---------| | [[t1136-create-account\|T1136 - Creaté Account]] | Técnica pai - criação de contas em geral | | [[t1078-valid-accounts\|T1078 - Valid Accounts]] | Uso das contas criadas para acesso persistente | | [[t1021-001-remote-desktop-protocol\|T1021.001 - RDP]] | Acesso remoto via conta de domínio criada | | [[t1069-002-domain-groups\|T1069.002 - Domain Groups]] | Adição da conta a grupos privilegiados | ## Detecção > [!warning] Fontes de dados e estrategias de detecção > - **Windows Event ID 4720** - Criação de conta de usuário no domínio > - **Windows Event ID 4722** - Conta de usuário habilitada > - **Windows Event ID 4728** - Membro adicionado ao grupo de segurança global > - Monitorar criação de contas fora do horário comercial ou por contas de serviço > - Alertar sobre nomes de conta que não seguem a convenção de nomenclatura corporativa > - Correlacionar criação de conta com outros indicadores de comprometimento (IOCs) > - Auditar membros dos grupos privilegiados do AD (Domain Admins, Enterprise Admins) ## Mitigação | ID | Mitigação | Aplicação | |---|-----------|-----------| | M1032 | [[m1032-multi-factor-authentication\|M1032 - MFA]] | Exigir MFA para todas as contas de domínio, especialmente as privilegiadas | | M1028 | [[m1028-operating-system-configuration\|M1028 - OS Configuration]] | Configurar políticas de grupo para restringir criação de contas a administradores autorizados | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Segmentar a rede para limitar o alcance de contas de domínio comprometidas | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Implementar PAM e revisões periódicas de contas privilegiadas no Active Directory | ## Threat Actors que Usam | Ator | Tipo | Contexto | |------|------|----------| | [[g0125-silk-typhoon\|HAFNIUM]] | APT (China) | Explorou o Exchange Server para criar contas de domínio e manter acesso | | [[g0102-conti-group\|Wizard Spider]] | Crime organizado | Usa contas de domínio para persistência antes de implantar ransomware | | [[g1043-blackbyte\|BlackByte]] | Ransomware | Cria contas admin de domínio para garantir acesso durante ataques | | [[g0093-gallium\|GALLIUM]] | APT (China) | Foco em telecomúnicações - cria contas para espionagem de longo prazo | | [[g1051-medusa-ransomware\|Medusa Group]] | Ransomware | Estabelece contas de domínio como mecanismo de acesso alternativo | ## Software Associado | Ferramenta | Uso | |-----------|-----| | [[s0039-net\|Net]] | Comando nativo para criação de contas (`net user /add /domain`) | | [[psexec\|PsExec]] | Execução remota para criação de contas em sistemas do domínio | | [[s0363-empire\|Empire]] | Framework pós-exploração com módulos para gerenciamento de contas AD | | [[s0192-pupy\|Pupy]] | RAT multiplataforma com capacidade de manipulação do Active Directory | ## Contexto LATAM > [!info] Relevância para o Brasil e América Latina > Grupos de ransomware como [[g0102-conti-group|Wizard Spider]] e [[g1043-blackbyte|BlackByte]] têm histórico de ataques contra empresas brasileiras dos setores financeiro, saúde e manufatura. A criação de contas de domínio é uma etapa central no playbook desses grupos antes da implantação do ransomware - tornando a detecção de Event ID 4720 crítica para equipes de SOC na região. O [[g0125-silk-typhoon|HAFNIUM]], com foco em espionagem, também representa ameaça para setores de tecnologia e governo na América Latina. --- *Fonte: MITRE ATT&CK - T1136.002 (v16.2)*