Техника на mitre.org

T1087: Изучение учетных записей

Злоумышленники могут попытаться получить список существующих учетных записей, имен пользователей или адресов электронной почты в системе или скомпрометированной среде. Опираясь на эти сведения, они могут определиться с дальнейшими действиями, например взломать учетную запись методом перебора, провести целевую фишинговую атаку или иным образом завладеть учетной записью (см. Существующие учетные записи).

Злоумышленники могут использовать различные методы для получения списка учетных записей, включая неправомерное использование легитимных инструментов, встроенных команд и потенциальных ошибок конфигурации, которые позволяют получить имена пользователей и их роли или разрешения в целевой среде.

Например, на облачных платформах обычно есть легкодоступные интерфейсы для получения списков пользователей. Для идентификации учетных записей на хостах злоумышленники могут использовать доступные по умолчанию функциональные возможности PowerShell и других интерпретаторов командной строки. Злоумышленники также могут извлекать сведения об адресах и учетных записях электронной почты из файлов в зараженной системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-404: MSSQL_Administrator_List_Query: Попытка получить информацию о пользователях базы данных с правами администратора mssql_database: PT-CR-554: MSSQL_Windows_Accounts_Discovery: Попытка получить информацию о пользователях и группах Windows с помощью хранимой процедуры mssql_database: PT-CR-420: MSSQL_Self_Permissions_Discovery: Попытка получить информацию о привилегиях текущего пользователя базы данных mssql_database: PT-CR-553: MSSQL_Db_Accounts_Discovery: Попытка получить информацию о пользователях уровня базы данных mssql_database: PT-CR-422: MSSQL_Sql_Server_Users_Discovery: Попытка получить информацию о пользователях базы данных с проверкой подлинности SQL Server pt_nad: PT-CR-734: NAD_Enumerate: PT NAD обнаружил попытки исследовать учетные записи it_bastion: PT-CR-2181: SKDPUNT_Collecting_Sessions_Info: Сбор информации о сеансах других пользователей sap_attack_detection: PT-CR-151: SAPASABAP_Client_Bruteforce: Подбор номеров клиентов SAP bruteforce: PT-CR-906: LyncSmash_Use: Подбор учетных записей пользователей Skype с помощью утилиты LyncSmash active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене postgresql_database: PT-CR-1830: PostgreSQL_Users_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о получении информации о пользователях базы данных PostgreSQL, что может быть признаком активности злоумышленника

Подтехники

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы, которые могут получать списки учетных записей и групп пользователей, такие как `net.exe` и `net1.exe`, особенно случаи их запуска с небольшим интервалом. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте в журналах действия по сбору информации об облачных учетных записях, включая вызовы облачных API для их изучения. Техники изучения системы и сети могут использоваться в некоторых штатных сетевых операциях, но чаще их применяют злоумышленники для ознакомления с особенностями среды. Поэтому рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности в зависимости от собранной информации, например, перемещению внутри периметра.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к ресурсам, которые содержат данные учетных записей на локальной системе и информацию о группах, в том числе каталогам `/etc/passwd` и `/Users`, а также базе данных Windows SAM. Если для получения доступа требуются высокие привилегии, обращайте внимание на объекты (пользователей и процессы) без административного доступа, которые пытаются получить доступ к конфиденциальным ресурсам.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте процессы, которые могут получать списки учетных записей и групп пользователей, такие как `net.exe` и `net1.exe`, особенно случаи их запуска с небольшим интервалом. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell.
DS0017	Команда: Выполнение команд	Отслеживайте в журналах действия по сбору информации об облачных учетных записях, включая вызовы облачных API для их изучения. Техники изучения системы и сети могут использоваться в некоторых штатных сетевых операциях, но чаще их применяют злоумышленники для ознакомления с особенностями среды. Поэтому рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности в зависимости от собранной информации, например, перемещению внутри периметра.
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к ресурсам, которые содержат данные учетных записей на локальной системе и информацию о группах, в том числе каталогам `/etc/passwd` и `/Users`, а также базе данных Windows SAM. Если для получения доступа требуются высокие привилегии, обращайте внимание на объекты (пользователей и процессы) без административного доступа, которые пытаются получить доступ к конфиденциальным ресурсам.

Меры противодействия

ID	M1028	Название	Изменение конфигурации ОС	Описание	Запретите перечисление учетных записей администратора, когда приложение поднимает права через UAC, поскольку это может привести к раскрытию имен учетных записей. Раздел реестра находится по адресу `HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators`. Его можно отключить с помощью GPO: Конфигурация компьютера > [Политики] > Административные шаблоны > Компоненты Windows > Credential User Interface: Перечисление учетных записей администратора при повышении уровня.

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте права на обнаружение облачных учетных записей по принципу минимальных привилегий. Организациям следует ограничить количество пользователей внутри организации, обладающих ролью IAM с административными привилегиями, стремиться реже наделять пользователей постоянной привилегированной ролью и проводить периодические проверки привилегий пользователей, ролей и политик IAM.

ID	Название	Описание
M1028	Изменение конфигурации ОС	Запретите перечисление учетных записей администратора, когда приложение поднимает права через UAC, поскольку это может привести к раскрытию имен учетных записей. Раздел реестра находится по адресу `HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators`. Его можно отключить с помощью GPO: Конфигурация компьютера > [Политики] > Административные шаблоны > Компоненты Windows > Credential User Interface: Перечисление учетных записей администратора при повышении уровня.
M1018	Управление учетными записями	Ограничьте права на обнаружение облачных учетных записей по принципу минимальных привилегий. Организациям следует ограничить количество пользователей внутри организации, обладающих ролью IAM с административными привилегиями, стремиться реже наделять пользователей постоянной привилегированной ролью и проводить периодические проверки привилегий пользователей, ролей и политик IAM.