Creazione Account Locale: Create Local Account (T1136.001)

La creazione di account locali offre molteplici vettori d'attacco attraverso diversi sistemi operativi. Su Windows, il comando classico rimane net user hacker P@ssw0rd123! /add, seguito da net localgroup administrators hacker /add per l'elevazione dei privilegi. Questa sequenza, utilizzata da Kimsuky, rappresenta l'approccio più diretto ma anche il più rilevabile.

Per un approccio più sofisticato, PowerShell offre maggiore flessibilità:

$password = ConvertTo-SecureString "C0mpl3x!" -AsPlainText -Force
New-LocalUser -Name "svchost" -Password $password -FullName "Service Host Process"
Add-LocalGroupMember -Group "Administrators" -Member "svchost"

Su Linux, la sequenza standard prevede useradd -m -s /bin/bash backdoor, seguito da echo 'backdoor:password123' | chpasswd. TeamTNT ha dimostrato varianti più elaborate che includono la modifica diretta di /etc/passwd e /etc/shadow per evitare i log di auditd.

macOS richiede l'utilizzo del Directory Service: dscl . -create /Users/support seguito da una serie di attributi per configurare l'account completamente. Calisto ha implementato questa tecnica con successo, creando account che persistono anche dopo gli aggiornamenti di sistema.

Per ESXi, il comando esxcli system account add -d="Backup Account" -i=backup -p=VMware1! -c=VMware1! crea un account locale direttamente sull'hypervisor. Questa variante, meno documentata pubblicamente, offre persistenza a livello di infrastruttura virtualizzata.

L'automazione attraverso tool come Empire o Pupy permette di eseguire queste operazioni in massa. Empire in particolare offre moduli pre-configurati che gestiscono automaticamente la creazione di account con nomi casuali e password complesse, riducendo la possibilità di detection basata su pattern statici.

La detection efficace richiede un approccio multi-livello che vada oltre il semplice monitoraggio degli eventi. Su Windows, l'EventCode 4720 rappresenta il punto di partenza, ma la vera efficacia sta nella correlazione con gli eventi di processo che lo precedono.

Una regola SIEM dovrebbe catturare la sequenza: creazione di processo (EventCode 4688) per net.exe o powershell.exe, seguito entro 5 secondi da un evento 4720. Particolare attenzione va posta ai processi padre sospetti come cmd.exe lanciato da servizi web o documenti Office.

Su Linux, auditd offre visibilità attraverso le syscall. La configurazione -w /etc/passwd -p wa -k account_creation cattura modifiche dirette ai file, mentre -a always,exit -S execve -F path=/usr/sbin/useradd monitora l'esecuzione del binario. La chiave sta nel filtrare le operazioni legittime di configuration management.

Per ridurre i falsi positivi, implementate una whitelist basata su:

• Orari di creazione (fuori dall'orario lavorativo = sospetto)
• Pattern di naming (account generici come "user1" o "temp")
• Contesto di esecuzione (sessioni RDP, SSH da IP non autorizzati)

La correlazione temporale è cruciale. Wizard Spider tipicamente crea account entro 15 minuti dall'accesso iniziale. Un alert che correla lateral movement seguito da creazione account ha alta probabilità di catturare attività malevola reale.

Per container e Kubernetes, strumenti come Falco permettono di intercettare le syscall all'interno dei namespace. La regola deve distinguere tra creazioni legittime durante il deployment e modifiche runtime non autorizzate.

La ricostruzione forense della creazione di account locali richiede l'analisi di molteplici artefatti. Su Windows, il registro SAM contiene gli hash delle password e i metadati degli account. L'analisi del file C:\Windows\System32\config\SAM con tool come Registry Explorer rivela timestamp precisi di creazione.

Il registro eventi offre una timeline dettagliata. Oltre all'evento 4720, cercate:

• EventCode 4722: account abilitato
• EventCode 4724: password resettata
• EventCode 4732: aggiunto a gruppo di sicurezza

APT41 ha mostrato pattern distintivi: creazione account, immediata aggiunta al gruppo Administrators, seguito da primo logon entro 60 secondi. Questa sequenza rapida è un forte indicatore di automazione.

Su Linux, /var/log/secure o /var/log/auth.log contengono le tracce dell'attività. La correlazione con /var/log/lastlog permette di identificare se l'account è stato effettivamente utilizzato. Magic Hound tipicamente crea account con nomi come "help" o "DefaultAccount" che si mimetizzano tra quelli di sistema.

Per ESXi, i log in /var/log/vmkernel.log e /var/log/shell.log documentano l'esecuzione dei comandi esxcli. La presenza di account creati via CLI invece che vCenter è un forte indicatore di compromissione.

L'analisi della persistenza mostra che FIN13 mantiene gli account dormienti per settimane prima dell'utilizzo. Controllate quindi non solo la creazione ma anche i pattern di accesso successivi, particolarmente durante ore non lavorative o da IP geograficamente distanti.

L'analisi dei gruppi APT rivela pattern distintivi nell'uso di questa tecnica. APT3 utilizza convenzioni di naming specifiche come "support_" seguito da identificatori casuali, mentre Dragonfly personalizza gli account per ogni target, suggerendo un'operazione manuale piuttosto che automatizzata.

Indrik Spider e Wizard Spider, entrambi affiliati al ransomware, mostrano comportamenti convergenti: creazione rapida di account amministrativi multipli per garantire ridondanza. Questo pattern suggerisce preparazione per operazioni di cifratura su larga scala che richiedono accesso amministrativo distribuito.

I gruppi iraniani Magic Hound e Fox Kitten prediligono account con nomi generici in inglese, probabilmente per mimetizzarsi in ambienti occidentali. La scelta di nomi come "help" o "DefaultAccount" indica studio preliminare delle convenzioni di naming del target.

APT5 ha evoluto la tecnica per ambienti con rotazione credenziali frequente, creando account Administrator locali come fallback quando gli account di dominio vengono disabilitati. Questo adattamento suggerisce operazioni di lungo termine in ambienti maturi dal punto di vista security.

L'overlap negli strumenti è significativo: Carbanak, ServHelper e DarkGate implementano tutti funzionalità di creazione account automatizzata. La commoditizzazione di questa capability nei malware-as-a-service indica che diventerà ancora più prevalente.

Geographic clustering mostra concentrazioni in Asia-Pacifico (APT3, APT5, Kimsuky) e Medio Oriente (Magic Hound, Fox Kitten), suggerendo che la tecnica è particolarmente favorita in operazioni di cyber-espionaggio statale dove la persistenza a lungo termine è prioritaria.

Documentazione basata su framework MITRE ATT&CK per la tecnica T1136.001. Riferimenti alle campagne di APT3, Dragonfly, Magic Hound e relativi IoC disponibili nelle rispettive analisi di threat intelligence. Risorse di detection strategy derivate da implementazioni real-world in ambienti SOC enterprise.