Техника на mitre.org

T1087.001: Локальная учетная запись

Злоумышленники могут попытаться получить список локальных учетных записей, зарегистрированных в системе. Эти сведения могут помочь злоумышленникам определиться с дальнейшими действиями.

Такие команды, как net user и net localgroup утилиты net, а также id и groups в macOS и Linux, могут выводить списки локальных пользователей и групп. В Linux список локальных пользователей также содержится в файле /etc/passwd. В macOS для получения списка локальных учетных записей можно использовать команду dscl . list /Users.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mongo_database: PT-CR-533: MongoDB_View_User_Roles: Попытка просмотреть роли пользователей в базе данных mongo_database: PT-CR-532: MongoDB_View_Users: Попытка просмотреть список учетных записей в базе данных unix_mitre_attck_discovery: PT-CR-1686: Unix_Local_Account_Discovery: Перечисление локальных пользователей Unix-системы unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор pt_nad: PT-CR-738: NAD_Sharphound: PT NAD обнаружил сканирование сети с помощью программного обеспечения SharpHound или BloodHound microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM mitre_attck_discovery: PT-CR-320: Account_Or_Group_Discovery_Via_SAM_R: Обнаружена попытка получить список учетных записей через SAM-R mitre_attck_discovery: PT-CR-923: Multiple_Users_Enum: Попытка перечисления пользователей в системе mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле mitre_attck_discovery: PT-CR-319: Account_Discovery: Обнаружена попытка получить список учетных записей mitre_attck_discovery: PT-CR-2548: LocalGroupListMembers_From_Remote_Host: Перечисление членов локальной группы безопасности с удаленного узла clickhouse: PT-CR-1570: ClickHouse_Account_Discovery: Обнаружена попытка получения списка учетных записей пользователей clickhouse: PT-CR-1573: ClickHouse_Users_Privileges_Discovery: Обнаружена попытка получения информации о привилегиях пользователей bruteforce: PT-CR-887: Windows_Password_Spraying: Распыление пароля на узле Windows. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей active_directory_attacks: PT-CR-1341: ActiveDirectory_Data_Collection: Выполнен LDAP-запрос на сбор информации о домене с помощью утилиты AD Explorer или SharpHound. Злоумышленники используют эти утилиты для сбора информации о доменных компьютерах, пользователях, группах и подобном hacking_tools: PT-CR-599: Subrule_Sharphound_Server_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2020: SharpHound_LoggedOn: Запуск утилиты SharpHound (BloodHound) с использованием метода LoggedOn, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах hacking_tools: PT-CR-1980: Subrule_SharpHound_Access_To_Samr_Srvsvc: Подключение к именованным каналам samr и srvsvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании одного из методов сбора информации утилиты SharpHound (BloodHound): LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly hacking_tools: PT-CR-598: Subrule_Sharphound_Client_Side: Обнаружено сетевое обращение к портам 389 и 445 hacking_tools: PT-CR-597: Sharphound_Server_Side: Обнаружено возможное сканирование сети с помощью программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-1977: Subrule_SharpHound_LoggedOn: Подключение к каналам winreg (2) и wkssvc (1) от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации LoggedOn утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1979: Subrule_SharpHound_Access_To_Wkssvc_Srvsvc: Подключение к именованным каналам samr и wkssvc от имени одного и того же пользователя с одного и того же узла, что может свидетельствовать об использовании метода сбора информации Session утилиты SharpHound (BloodHound) hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth) hacking_tools: PT-CR-2019: SharpHound_Groups_Collection: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: LocalGroup, RDP, DCOM, LocalAdmin, ComputerOnly. Данные методы применяются для сбора информации о локальных группах пользователей на различных доменных узлах hacking_tools: PT-CR-596: Sharphound_Client_Side: Обнаружено возможное использование программного обеспечения SharpHound или BloodHound hacking_tools: PT-CR-2018: SharpHound_Session: Запуск утилиты SharpHound (BloodHound) с использованием метода Session, который применяется для сбора информации о пользовательских сеансах на различных доменных узлах

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API (такие как `NetUserEnum()`), с помощью которых можно попытаться собрать информацию о локальных учетных записях (например, тип пользователя, привилегии и группы).

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к ресурсам, которые содержат данные учетных записей и групп в локальной системе, в том числе к файлу `/etc/passwd` в Linux и к каталогу`/Users` и базе данных SAM в Windows. Если для получения доступа требуются высокие привилегии, обращайте внимание на объекты (пользователей и процессы) без административного доступа, которые пытаются получить доступ к конфиденциальным ресурсам.

ID	DS0036	Источник и компонент данных	Группа: Получение списка групп	Описание	Отслеживайте записи в журнале, которые могут указывать на то, что был получен список доступных групп и (или) соответствующих им параметров, например события Windows с идентификаторами 4798 или 4799.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы, которые могут получать списки учетных записей и групп пользователей, такие как `net.exe` и `net1.exe`, особенно случаи их запуска с небольшим интервалом. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). В Linux для оповещения о получении списков локальных пользователей или чтении файлов с этими данными, включая `/etc/passwd`, могут использоваться механизмы аудита, такие как система аудита Linux (auditd). В macOS для отслеживания вызова таких команд, как `id` и `groups`, могут применяться утилиты, совместимые с фреймворком Apple Endpoint Security, например Process Monitor. Аналитика 1. Команды для обнаружения процесса Net `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="net.exe" OR Image="net1.exe"`

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списков локальных учетных записей и групп или сбора информации о них, например `net user`, `net account`, `net localgroup`, `Get-LocalUser` и `dscl`. Техники изучения системы и сети могут использоваться в некоторых штатных сетевых операциях, но чаще их применяют злоумышленники для ознакомления с особенностями среды. Поэтому рекомендуется рассматривать события и данные, связанные с изучением систем, не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API (такие как `NetUserEnum()`), с помощью которых можно попытаться собрать информацию о локальных учетных записях (например, тип пользователя, привилегии и группы).
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к ресурсам, которые содержат данные учетных записей и групп в локальной системе, в том числе к файлу `/etc/passwd` в Linux и к каталогу`/Users` и базе данных SAM в Windows. Если для получения доступа требуются высокие привилегии, обращайте внимание на объекты (пользователей и процессы) без административного доступа, которые пытаются получить доступ к конфиденциальным ресурсам.
DS0036	Группа: Получение списка групп	Отслеживайте записи в журнале, которые могут указывать на то, что был получен список доступных групп и (или) соответствующих им параметров, например события Windows с идентификаторами 4798 или 4799.
DS0009	Процесс: Создание процесса	Отслеживайте процессы, которые могут получать списки учетных записей и групп пользователей, такие как `net.exe` и `net1.exe`, особенно случаи их запуска с небольшим интервалом. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). В Linux для оповещения о получении списков локальных пользователей или чтении файлов с этими данными, включая `/etc/passwd`, могут использоваться механизмы аудита, такие как система аудита Linux (auditd). В macOS для отслеживания вызова таких команд, как `id` и `groups`, могут применяться утилиты, совместимые с фреймворком Apple Endpoint Security, например Process Monitor. Аналитика 1. Команды для обнаружения процесса Net `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="net.exe" OR Image="net1.exe"`
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списков локальных учетных записей и групп или сбора информации о них, например `net user`, `net account`, `net localgroup`, `Get-LocalUser` и `dscl`. Техники изучения системы и сети могут использоваться в некоторых штатных сетевых операциях, но чаще их применяют злоумышленники для ознакомления с особенностями среды. Поэтому рекомендуется рассматривать события и данные, связанные с изучением систем, не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации.

Меры противодействия

ID	M1028	Название	Изменение конфигурации ОС	Описание	Запретите отображение учетных записей администратора, когда приложение повышает уровень прав через UAC, поскольку это может привести к раскрытию имен учетных записей. Соответствующий ключ реестра: `HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators`. Его можно отключить с помощью GPO: Конфигурация компьютера > [Политики] > Административные шаблоны > Компоненты Windows > Пользовательский интерфейс учетных данных > Отображать учетные записи администратора при повышении уровня прав.

ID	Название	Описание
M1028	Изменение конфигурации ОС	Запретите отображение учетных записей администратора, когда приложение повышает уровень прав через UAC, поскольку это может привести к раскрытию имен учетных записей. Соответствующий ключ реестра: `HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators`. Его можно отключить с помощью GPO: Конфигурация компьютера > [Политики] > Административные шаблоны > Компоненты Windows > Пользовательский интерфейс учетных данных > Отображать учетные записи администратора при повышении уровня прав.