Descripción de la Tecnica
Domain Account es una técnica del MITRE ATT&CK (T1087.002) que implica la obtención de una lista de cuentas de dominio por parte de actores adversaria. Esta información permite identificar qué cuentas existen en un entorno, lo que puede facilitar ataques posteriores contra cuentas con privilegios específicos.
Como Funciona
Los atacantes pueden utilizar comandos como net user /domain o net group /domain del utilidad Net, dscacheutil -q group en macOS, y ldapsearch en Linux para recopilar datos sobre usuarios y grupos de dominio. Estos comandos permiten extraer información estructurada sobre las cuentas de dominio, lo que puede ser utilizado para planificar actividades posteriores.
Actores que la Utilizan
No se especifica un actante particular en el contexto proporcionado. Esta técnica es utilizada por diversos grupos adversaria con objetivos como obtener acceso no autorizado o realizar ataques de tipo credential stuffing.
Detección
La detección implica monitorear logs de sistemas y herramientas de administración que puedan mostrar comandos relacionados con la enumeración de cuentas de dominio. Un patrón inusual de uso de net user /domain, dscacheutil -q group o ldapsearch podría indicar actividad maliciosas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda:
- Restringir el acceso a herramientas como net user /domain o ldapsearch a usuarios con necesidades específicas.
- Implementar monitoreo de logs y auditoría de actividades de administración.
- Utilizar políticas de seguridad que limiten la enumeración de cuentas en entornos críticos.
- Actualizar sistemas para corregir vulnerabilidades relacionadas con la enumeración de usuarios.