Creazione Account di Dominio: Create Domain Account (T1136.002)

La simulazione di questa tecnica richiede privilegi elevati nel dominio target. Il comando base per Windows rimane il più diretto:

net user hacker P@ssw0rd123! /add /domain

Per aumentare la furtività, gli attaccanti esperti preferiscono PowerShell con parametri più granulari. Il comando seguente crea un account con attributi specifici che mimano utenti legittimi:

New-ADUser -Name "ServiceAccount01" -AccountPassword (ConvertTo-SecureString -AsPlainText "Complex!Pass123" -Force) -Enabled $true -PasswordNeverExpires $true

Empire offre moduli automatizzati per questa attività, mentre Pupy integra PowerView per eseguire comandi net user in contesti remoti. La catena d'attacco tipica prevede prima l'ottenimento di credenziali Domain Admin attraverso tecniche come Kerberoasting o DCSync.

Su Linux, quando il sistema è integrato con AD, puoi utilizzare:

samba-tool user create hackeruser ComplexPass123! --use-username-as-cn

Per macOS in ambienti enterprise:

dscl /Active\ Directory/DOMAIN/All\ Domains -create /Users/hackeruser

PsExec consente l'esecuzione remota di questi comandi su Domain Controller compromessi. La chiave sta nel timing: creare l'account durante finestre di manutenzione o fuori dall'orario lavorativo riduce il rischio di detection immediata.

Gli attaccanti sofisticati come GALLIUM creano account con nomi che si confondono con quelli esistenti. Durante la campagna 2016 Ukraine Electric Power Attack, Sandworm Team ha creato account chiamati "admin" e "система" per mimetizzarsi con account di sistema legittimi.

Il rilevamento efficace si basa sul monitoraggio dell'Event ID 4720 nei log di sicurezza Windows. Questo evento viene generato ogni volta che un nuovo account utente viene creato nel dominio.

La configurazione base richiede una correlazione temporale: quando EventCode 4720 appare entro 2 minuti dall'esecuzione di processi sospetti come net.exe o powershell.exe sui Domain Controller. Questa finestra temporale cattura la sequenza tipica comando-creazione account.

Per ridurre i falsi positivi, implementa filtri basati sul contesto. Gli account creati da processi con privilegi Domain Admin richiedono scrutinio maggiore rispetto a quelli generati da helpdesk autorizzati. Limita il monitoraggio ai soli Domain Controller escludendo le workstation.

Su sistemi Linux integrati con AD, monitora l'auditd per syscall relative a ldapmodify o samba-tool. La catena comportamentale include l'esecuzione del comando seguita da traffico Kerberos anomalo entro pochi minuti.

auditctl -w /usr/bin/samba-tool -p x -k domain_account_creation

Per macOS, il parsing dei log unificati deve catturare l'uso di dsconfigad o dscl in contesti AD. L'alert scatta quando questi tool vengono eseguiti su sistemi domain-joined, seguiti da tentativi di autenticazione di account precedentemente sconosciuti.

I gruppi come Wizard Spider e BlackByte tendono a creare account privilegiati immediatamente dopo il compromesso iniziale. Configura alert per creazioni di account con membership in gruppi sensibili come Domain Admins o Enterprise Admins nelle prime 24 ore.

L'analisi forense degli account di dominio creati illecitamente inizia dall'Event Log di Windows. L'EventCode 4720 nel Security log contiene timestamp precisi, SID dell'account creato e l'utente che ha eseguito l'operazione.

Gli artefatti chiave includono il file NTDS.dit sul Domain Controller, che mantiene la storia completa degli oggetti AD. L'attributo whenCreated fornisce il timestamp UTC esatto della creazione, mentre lastLogonTimestamp traccia l'utilizzo successivo dell'account.

Durante l'analisi della campagna 2015 Ukraine Electric Power Attack, gli investigatori hanno scoperto che Sandworm Team aveva creato account privilegiati settimane prima dell'attacco finale. La timeline mostrava creazione account → escalation privilegi → movimento laterale → deployment di BlackEnergy3.

Per ricostruire la sequenza completa:

Get-ADUser -Filter * -Properties whenCreated, lastLogonTimestamp | Where-Object {$_.whenCreated -gt (Get-Date).AddDays(-30)}

Esamina i Prefetch files di Windows per tracce di net.exe o dsadd.exe. Il registro SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser può rivelare se l'account malevolo è stato utilizzato per login interattivi.

Medusa Group ha mostrato pattern distintivi creando account con convenzioni di naming simili a quelle aziendali. L'analisi degli attributi Description e distinguishedName spesso rivela anomalie rispetto agli standard organizzativi.

I backup del System State contengono snapshot storici di AD che permettono di identificare esattamente quando l'account è apparso. Confronta backup incrementali per pinpoint della window di compromissione.

GALLIUM (APT37 correlato) utilizza la creazione di account di dominio come tecnica primaria di persistenza. Il gruppo crea tipicamente account con privilegi elevati immediatamente dopo aver ottenuto l'accesso iniziale, preferendo nomi che si mimetizzano con convenzioni aziendali locali.

Wizard Spider, noto per le operazioni ransomware Ryuk/Conti, segue un pattern diverso. Creano multipli account di backup distribuiti nel tempo, spesso durante weekend o festività quando il monitoring è ridotto. I loro account mostrano membership in gruppi non standard per evitare detection basate su Domain Admins.

HAFNIUM integra questa tecnica nelle sue catene di exploit Exchange. Dopo lo sfruttamento iniziale, creano account di servizio che appaiono legittimi per mantenere l'accesso anche dopo il patching delle vulnerabilità.

Le campagne ucraine del 2015 e 2016 dimostrano l'evoluzione tattica di Sandworm. Nel 2015 crearono account privilegiati generici, mentre nel 2016 utilizzarono nomi cirillici ("система") per confondersi meglio nell'ambiente target.

BlackByte e Medusa Group rappresentano la nuova generazione di attaccanti ransomware. Entrambi creano account di dominio entro le prime ore dal compromesso iniziale, utilizzandoli per il deployment rapido del ransomware attraverso GPO o scheduled task.

L'overlap degli strumenti è significativo: Empire, Pupy e varianti custom di Mimikatz sono comuni tra questi gruppi. Il trend emergente mostra preferenza per account di servizio piuttosto che utente, sfruttando la minore visibilità di questi oggetti in molti ambienti.

Analisi basata su framework MITRE ATT&CK per tecnica T1136.002. Riferimenti: campagne Sandworm 2015-2016 Ukraine Electric Power Attacks, profili gruppi GALLIUM, Wizard Spider, HAFNIUM, BlackByte, Medusa Group. Detection strategy multipiattaforma con focus Event ID 4720 Windows, auditd Linux, unified logs macOS.