T1136: Создание учетной записи

Злоумышленники могут создать учетную запись с целью сохранения доступа к целевой системе. При достаточном уровне доступа такие учетные записи могут использоваться для реализации дополнительной возможности авторизованного доступа, не требующей развертывания в системе инструментов для постоянного удаленного доступа.

Учетные записи могут создаваться как в локальной системе, так и в домене или облачном тенанте. В облачных средах злоумышленники могут создавать учетные записи, имеющие доступ только к определенным службам, что снижает вероятность их обнаружения.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

sap_java_suspicious_user_activity: PT-CR-536: SAPASJAVA_Create_Account_And_Login: Только что созданный пользователь вошел в систему network_devices_compromise: PT-CR-1351: Checkpoint_Admin_Modification: Добавление или удаление администраторов на устройстве Checkpoint

Подтехники

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как net.exe.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Создание учетной записиОписание

Используйте аудит учетных записей для отслеживания недавно созданных учетных записей пользователей, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети, а также о событиях Windows с ИД 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания учетных записей, например net user или useradd.

Меры противодействия

IDM1030НазваниеСегментация сетиОписание

Настройте средства контроля доступа и брандмауэры для ограничения доступа к контроллерам домена и системам, используемым для создания и управления учетными записями.

IDM1028НазваниеИзменение конфигурации ОСОписание

Защитите контроллеры домена, обеспечив правильную конфигурацию безопасности для критически важных серверов.

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию для учетных записей пользователей и привилегированных учетных записей.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте количество учетных записей с правами на создание других учетных записей. Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.