Creazione Account Locale: Create Account – Local Account (T1136.001)

Replicare T1136.001 in laboratorio è un esercizio fondamentale per validare i controlli di detection del cliente. L'obiettivo è verificare che la catena di monitoraggio — dal log di creazione all'alert nel SIEM — funzioni end-to-end su ogni piattaforma presente nell'ambiente.

Windows è il punto di partenza naturale. Il comando classico crea un utente e lo aggiunge al gruppo Administrators in due passaggi:

net user support_test P@ssw0rd123! /add net localgroup Administrators support_test /add

Variare il vettore è fondamentale: ripetere l'operazione tramite PowerShell con New-LocalUser consente di testare se il SOC rileva entrambi i percorsi. Un test più avanzato utilizza WMI per la creazione, perché alcuni ambienti monitorano solo i processi figli di cmd.exe e powershell.exe:

Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine="net user shadow_adm Str0ng!Pass /add"}

Atomic Red Team (open source) automatizza questi scenari con il test T1136.001, eseguibile direttamente tramite il modulo PowerShell Invoke-AtomicTest. Questo approccio garantisce ripetibilità e documentazione dell'esecuzione.

Su Linux, il test base prevede la creazione di un utente privilegiato e l'assegnazione diretta alla wheel o sudo group:

sudo useradd -m -s /bin/bash -G sudo testpersist

Per simulare tattiche più evasive, si può scrivere direttamente in /etc/passwd senza usare useradd, una tecnica osservata in diversi malware reali. Questo testa se il SOC monitora le modifiche ai file di sistema oltre all'esecuzione dei binari.

Su macOS, la creazione via Directory Services CLI è la strada nativa:

dscl . -create /Users/backdoor_user dscl . -create /Users/backdoor_user UserShell /bin/zsh dscl . -create /Users/backdoor_user UniqueID 599

Per ESXi, in un lab con hypervisor di test:

esxcli system account add -i threat_actor -p ComplexPass1! -c ComplexPass1! -d "Test account"

In ambienti Kubernetes, la simulazione prevede la creazione di un ServiceAccount e il binding a un ClusterRole privilegiato tramite kubectl create serviceaccount seguito da un kubectl create clusterrolebinding. Questo scenario testa la visibilità del SOC sulle API audit log del cluster.

Per ogni test, documentare timestamp di esecuzione, utente operatore e piattaforma. Confrontare poi con il SOC: l'alert è scattato? In quanto tempo? Ha catturato la variante WMI quanto quella net user? Le risposte definiscono le lacune reali.

La detection di account locali creati da un avversario si basa su una regola d'oro: ogni account creato fuori dal processo di provisioning standard è sospetto fino a prova contraria. La sfida è tradurre questo principio in alert che non anneghino nel rumore.

Su Windows, la pietra angolare è l'evento EventCode 4720 (Security Log), che registra ogni creazione di account locale. Da solo però genera troppi falsi positivi in ambienti dove helpdesk e script di automazione creano utenti regolarmente. La chiave è la correlazione: un alert ad alta fedeltà collega 4720 al processo che lo ha generato. Tramite Sysmon (EventID 1 — Process Create), si ricostruisce la catena: se il processo padre è powershell.exe, cmd.exe, wscript.exe o un binario rinominato, e il contesto utente è SYSTEM o un account amministrativo, la priorità sale. Definire una finestra temporale di correlazione stretta — 5 secondi a 2 minuti — tra la creazione del processo e l'evento 4720 riduce drasticamente il rumore.

Attenzione ai casi subdoli: alcuni attaccanti rinominano net.exe per eludere regole basate sul nome del processo. Per questo è essenziale monitorare anche la command line (campo CommandLine in Sysmon) cercando pattern come /add, New-LocalUser o stringhe riconducibili a creazione utente, indipendentemente dal nome del binario.

Su Linux, il log source primario è auditd. Configurare regole audit sui binari useradd e adduser è il punto di partenza, ma la detection deve coprire anche le modifiche dirette a /etc/passwd e /etc/shadow. Con auditd:

-w /usr/sbin/useradd -p x -k user_creation -w /etc/passwd -p wa -k passwd_changes

Il tuning critico riguarda l'origine del comando: una creazione utente avviata da una sessione SSH interattiva ha un profilo di rischio diverso rispetto a una eseguita da un processo di automazione come Ansible. Correlare il PPID con sshd alza la priorità.

Per macOS, i Unified Log catturano le invocazioni di dscl. Account con pattern di naming come svc*, backup* o nomi generici meritano investigazione immediata. Distinguere se dscl è stato lanciato da Terminal, da Apple Remote Desktop o da uno script automatizzato modifica il livello di allerta.

Su ESXi, i log vmkernel registrano le operazioni esxcli. La differenza tra sessione console locale, SSH e vSphere CLI deve guidare la priorità: una creazione account via SSH da un IP non riconosciuto è un indicatore ad alta confidenza.

Per i container, Falco (open source) è lo strumento di riferimento: le sue regole predefinite rilevano esecuzioni di useradd o scritture su /etc/passwd all'interno di container in esecuzione, sfruttando hook eBPF a livello kernel. Il tuning deve distinguere tra container effimeri (build/CI) e container long-lived di servizio.

La creazione di un account locale lascia tracce su più livelli del sistema, e il lavoro del forensic analyst consiste nel ricostruire non solo il quando, ma il come e il da chi. Una timeline accurata trasforma un singolo indicatore in una narrazione dell'intrusione.

Su Windows, il punto di partenza è il Security Event Log. L'evento 4720 contiene il nome dell'account creato, il SID assegnato e — cruciale — il Subject Account, ovvero l'identità che ha eseguito l'operazione. Se il Subject è SYSTEM e l'account creato ha un nome come "support_388945a0" o "SafeMode", il quadro si allinea con pattern documentati di diversi malware noti. L'evento 4722 (account abilitato) e 4732 (aggiunta a gruppo locale) completano la sequenza: un account creato e immediatamente aggiunto al gruppo Administrators in pochi secondi è un pattern quasi esclusivamente offensivo.

Il registro SAM, situato in C:\Windows\System32\config\SAM, è l'artefatto persistente. Con tool come RegRipper (open source) si estraggono i metadati degli account locali, inclusi i timestamp di creazione e ultimo login. Incrociare il timestamp SAM con l'evento 4720 fornisce una doppia conferma. Se l'attaccante ha cancellato i log eventi, il SAM resta: è un artefatto su disco, non volatile.

Per ricostruire il processo responsabile, i log Sysmon sono preziosi. L'EventID 1 consente di identificare il binario esatto, i suoi argomenti da riga di comando, l'hash dell'eseguibile e il processo padre. In assenza di Sysmon, il Prefetch di Windows può rivelare l'esecuzione recente di net.exe o net1.exe — il file NET.EXE-xxxxxxxx.pf contiene il timestamp dell'ultima esecuzione e il conteggio delle esecuzioni.

Su Linux, il file /var/log/auth.log (Debian/Ubuntu) o /var/log/secure (RHEL/CentOS) registra le operazioni di useradd con timestamp e utente chiamante. L'analisi di /etc/passwd e /etc/shadow rivela account anomali: UID insolitamente bassi (sotto 1000 per utenti non di sistema), shell interattive su account di servizio, o home directory in posizioni non standard sono tutti red flag. Il file /var/log/wtmp, leggibile con last, mostra i login dell'account creato — se l'account è stato usato, c'è traccia.

Su macOS, il database della Directory Services locale — contenuto in /var/db/dslocal/nodes/Default/users/ — conserva un file plist per ogni utente. Il timestamp di creazione del file corrisponde alla creazione dell'account. I Unified Log, interrogabili con log show --predicate 'process == "dscl"', restituiscono le invocazioni del comando con argomenti completi.

Per ESXi, il file /var/log/hostd.log e i log di shell registrano le operazioni esxcli. In ambienti containerizzati, i log delle API Kubernetes (audit log) documentano ogni creazione di ServiceAccount con l'identità del chiamante e il namespace di destinazione.

Il pattern da cercare nella timeline è sempre lo stesso: compromissione iniziale → escalation di privilegi → creazione account → uso dell'account per movimento laterale o accesso persistente. L'account locale è raramente il primo atto: trovarlo nella timeline e risalire a ciò che lo precede rivela il vettore d'ingresso.

La creazione di account locali è una tecnica condivisa trasversalmente da gruppi con obiettivi, capacità e affiliazioni molto diverse. Questa universalità la rende un indicatore debole per l'attribuzione se presa in isolamento, ma i dettagli implementativi — naming convention, livello di privilegi, contesto di deployment — offrono spunti analitici significativi.

Wizard Spider (G0102) rappresenta il profilo criminale finanziario evoluto. Il gruppo crea account amministrativi locali come tecnica di persistenza all'interno di reti compromesse, tipicamente nelle fasi che precedono il deployment di ransomware. Il pattern è funzionale: account con privilegi elevati che garantiscano la capacità di muoversi lateralmente e distribuire il payload finale su più endpoint contemporaneamente.

APT5 (G1023) adotta un approccio più sofisticato, creando account di Local Administrator specificamente in ambienti con rotazione credenziali a ciclo breve. Questo dettaglio rivela una comprensione matura delle difese del target: dove le password cambiano frequentemente, un account controllato dall'attaccante diventa l'unica ancora stabile.

Dragonfly (G0035) porta la personalizzazione a un livello superiore, creando account su misura per ciascun target di staging. Questo comportamento suggerisce operazioni manuali, condotte da operatori umani che adattano la persistenza all'ambiente specifico, un tratto tipico di operazioni statali con obiettivi infrastrutturali critici.

Sul fronte mediorientale, Fox Kitten (G0117) e Magic Hound (G0059) — entrambi associati all'ecosistema iraniano — mostrano approcci diversi. Fox Kitten crea account con privilegi amministrativi in modo diretto, mentre Magic Hound utilizza naming convention specifiche come "help" e "DefaultAccount", scelte per mimetizzarsi tra gli account di sistema predefiniti di Windows. Kimsuky (G0094), attore nordcoreano, si mantiene sullo strumento base net user, privilegiando la semplicità operativa.

TeamTNT (G0139) merita una nota a parte: specializzato in ambienti cloud e container, crea utenti privilegiati sulle macchine vittima nel contesto di campagne di cryptomining. Il software Hildegard (S0601), attribuito a questo gruppo, crea utenti con nomi come "monerodaemon" — un indicatore ad alta fedeltà per threat hunting.

Il quadro software arricchisce l'analisi. DarkGate (S1111) crea un account "SafeMode" via net user, un nome scelto per sembrare legittimo. ServHelper (S0382) usa "supportaccount", Flame (S0143) opta per "HelpAssistant" — un nome che replica un account di assistenza remota presente di default su Windows. Questi pattern di naming sono IOC comportamentali da inserire nelle regole di hunting.

La tendenza emergente è l'estensione della tecnica oltre i sistemi operativi tradizionali: account su firewall tramite exploit di pannelli di gestione, account su ESXi per il controllo dell'hypervisor, e ServiceAccount in Kubernetes per la persistenza in ambienti cloud-native. Il threat intelligence officer deve monitorare l'adozione crescente di questa tecnica su appliance e piattaforme di orchestrazione, dove la visibilità delle organizzazioni è storicamente più debole.

Framework MITRE ATT&CK — Tecnica T1136.001 (Create Account: Local Account), Tattica TA0003 (Persistence). Mitigazioni M1032, M1026. Strategia di detection DET0447, analytic AN1235–AN1240. Gruppi: G0102, G1023, G0035, G0139, G0117, G0096, G1016, G0094, G0059, G0119, G0077, G0087, G1034, G0022. Software: S0394, S0493, S0363, S0649, S0143, S0382, S0192, S0085, S0039, S1111, S0084, S0030, S0601, S0412, S0274. Tool di detection: Sysmon, auditd, Falco, RegRipper. Integrato con conoscenza professionale per tool e procedure operative.