# T1136 - Criar Conta ## Sub-técnicas - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1136-002-domain-account|T1136.002 - Domain Account]] - [[t1136-003-cloud-account|T1136.003 - Criação de Conta em Nuvem]] ## Descrição Adversários criam contas em sistemas comprometidos para manter acesso persistente sem depender de ferramentas de acesso remoto continuamente implantadas. Com nível de acesso suficiente, a criação de uma conta secundária oferece um mecanismo de persistência discreto que pode sobreviver a reinicializações, limpezas de malware e rotações de credenciais - desde que a conta criada não sejá detectada e removida. As contas podem ser criadas localmente (usuários e administradores locais em Windows, Linux e macOS), em um domínio Active Directory, ou em ambientes de nuvem e SaaS como Azure AD, AWS IAM, Google Workspace e plataformas de identidade como Okta. Em ambientes de nuvem, adversários frequentemente criam contas com escopos mínimos - limitadas a serviços específicos - para reduzir a visibilidade e dificultar a detecção por equipes de segurança. Outra variação comum é a criação de contas de serviço ou contas de aplicativo em plataformas como Microsoft 365 e Google Cloud, que não exigem login interativo e passam despercebidas em revisões de acesso rotineiras. Grupos como [[g1015-scattered-spider|Scattered Spider]] e [[g0119-indrik-spider|Indrik Spider]] utilizam esta técnica extensivamente para garantir reentrada após a detecção inicial. No contexto Brasil e LATAM, esta técnica tem sido observada em campanhas contra o setor financeiro e governo, onde adversários criam contas locais em servidores de autenticação ou adicionam usuários fantasma ao Active Directory corporativo. A prática é particularmente eficaz em organizações com processos deficientes de revisão de contas e sem monitoramento de criação de objetos no AD. O grupo [[g1045-salt-typhoon|Salt Typhoon]], associado a operações de espionagem, também emprega esta técnica em infraestruturas de telecomúnicações. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>(phishing, exploit)"] --> B["Escalada de Privilégios<br/>(admin local ou domain admin)"] B --> C["T1136 - CRIAR CONTA<br/>(local / domínio / nuvem)"] C --> D["Conta Backdoor<br/>Estabelecida"] D --> E1["Acesso Persistente<br/>(RDP, SSH, VPN)"] D --> E2["Movimentação Lateral<br/>com nova identidade"] E1 --> F["Exfiltração ou<br/>Impacto Final"] E2 --> F ``` ## Como Funciona 1. **Preparação** - O adversário obtém privilégios elevados (administrador local, Domain Admin ou equivalente em nuvem) via [[t1078-valid-accounts|T1078 - Contas Válidas]], exploração de vulnerabilidade ou [[t1548-abuse-elevation-control-mechanism|escalada de privilégios]]. Sem esse nível de acesso, a criação de contas é geralmente bloqueada pelo sistema operacional. 2. **Execução** - A conta é criada usando comandos nativos do sistema ou APIs de gerenciamento de identidade. Em Windows, os comandos `net user` e `net localgroup` são os mais comuns. Em ambientes de nuvem, as APIs de IAM (AWS), Azure AD Graph ou Google Directory API são utilizadas programaticamente. 3. **Pós-execução** - A conta criada é adicionada a grupos com privilégios (Administrators, Domain Admins, Global Admins). Em alguns casos, o adversário configura senhas que não expiram, desabilita a exigência de troca no primeiro login e habilita acesso remoto (RDP, SSH) para a nova conta. A conta pode ser nomeada para imitar contas legítimas de sistema ou serviço. **Exemplo - criação de conta local em Windows:** ```cmd net user backdoor P@ssw0rd123! /add net localgroup Administrators backdoor /add net localgroup "Remote Desktop Users" backdoor /add ``` ## Detecção ```yaml title: Criação de Conta de Usuário Suspeita status: stable logsource: category: process_creation product: windows detection: selection_net: Image|endswith: - '\net.exe' - '\net1.exe' CommandLine|contains: - 'user' - '/add' selection_powershell: CommandLine|contains: - 'New-LocalUser' - 'New-ADUser' - 'New-MsolUser' condition: selection_net or selection_powershell falsepositives: - Provisionamento automatizado de usuários por scripts de TI - Sistemas de ITSM/HRIS criando contas via automação - Tarefas agendadas de onboarding level: medium tags: - attack.persistence - attack.t1136 - attack.t1136.001 - attack.t1136.002 ``` ## Mitigação | Mitigação | Orientação Prática | |-----------|-------------------| | [[m1026-privileged-account-management\|M1026 - Gerenciamento de Contas Privilegiadas]] | Restringir quem pode criar contas; usar PAM para monitorar e aprovar criações de conta fora do fluxo normal de provisionamento | | [[m1032-multi-factor-authentication\|M1032 - Autenticação Multifator]] | Exigir MFA em todas as contas com privilégios de criação de usuário; dificultar o uso de credenciais roubadas para esse fim | | [[m1028-operating-system-configuration\|M1028 - Configuração do Sistema Operacional]] | Configurar políticas de grupo (GPO) para alertar ou bloquear criação de contas fora de processos autorizados; auditar membership de grupos privilegiados | | [[m1030-network-segmentation\|M1030 - Segmentação de Rede]] | Segmentar controladores de domínio e sistemas de identidade; limitar quais hosts podem se autenticar contra o AD ou APIs de IAM em nuvem | ## Threat Actors que Usam - [[g0119-indrik-spider|Indrik Spider]] - utiliza esta técnica para manter acesso persistente pós-ransomware - [[g1015-scattered-spider|Scattered Spider]] - cria contas em ambientes SaaS e Identity Provider durante intrusões de engenharia social - [[g1045-salt-typhoon|Salt Typhoon]] - registra contas de serviço em infraestruturas de telecomúnicações para espionagem de longo prazo ## Software Associado - [[s1199-lockbit-20|LockBit 2.0]] - cria contas locais antes da fase de criptografia para garantir persistência ## Referências *Fonte: [MITRE ATT&CK - T1136](https://attack.mitre.org/techniques/T1136)*