Descripción de la Tecnica
Local Account es una técnica del MITRE ATT&CK que describe cómo atacantes pueden intentar obtener una lista de cuentas locales en un sistema. Esta información permite a los adversarios identificar qué cuentas locales existen, lo cual puede ser útil para realizar acciones posteriores como iniciar sesiones o exfiltrar datos.
Como Funciona
Los atacantes pueden utilizar comandos específicos para extraer información sobre las cuentas y grupos locales. Por ejemplo, en sistemas Windows se pueden emplear net user y net localgroup de la utilidad Net. En macOS y Linux, comandos como id y groups también sirven para listar usuarios y grupos. Estas herramientas permiten al atacante mapear estructuras de usuario dentro del sistema.
Actores que la Utilizan
Esta técnica es utilizada por actores cibernéticos avanzados, incluyendo grupos APT (Advanced Persistent Threats) y amenazas de alto nivel. Estos actores buscan aprovechar la información sobre cuentas locales para planificar operaciones posteriores, como la inyección de código malicioso o el acceso no autorizado.
Deteccion
La detección de esta técnica implica monitorear el uso de comandos relacionados con usuarios y grupos locales. Un comportamiento anormal podría incluir ejecuciones repetidas de net user, id o groups en contextos no autorizados. Herramientas de seguridad pueden alertar sobre estas actividades si se detectan en entornos críticos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar el riesgo asociado a esta técnica, es fundamental:
1. Limitar el acceso a cuentas locales con privilegios elevados.
2. Implementar monitoreo continuo de comandos como net user o id en entornos críticos.
3. Actualizar sistemas operativos y herramientas de seguridad para corregir vulnerabilidades relacionadas con la enumeración de usuarios.
4. Utilizar políticas de acceso basadas en roles (RBAC) para minimizar el número de cuentas con permisos amplios.