T1136: Создание учетной записи
Злоумышленники могут создать учетную запись с целью сохранения доступа к целевой системе. При достаточном уровне доступа такие учетные записи могут использоваться для реализации дополнительной возможности авторизованного доступа, не требующей развертывания в системе инструментов для постоянного удаленного доступа.
Учетные записи могут создаваться как в локальной системе, так и в домене или облачном тенанте. В облачных средах злоумышленники могут создавать учетные записи, имеющие доступ только к определенным службам, что снижает вероятность их обнаружения.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
sap_java_suspicious_user_activity: PT-CR-536: SAPASJAVA_Create_Account_And_Login: Только что созданный пользователь вошел в систему network_devices_compromise: PT-CR-1351: Checkpoint_Admin_Modification: Добавление или удаление администраторов на устройстве Checkpoint
Подтехники
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как net.exe. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Создание учетной записи | Описание | Используйте аудит учетных записей для отслеживания недавно созданных учетных записей пользователей, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети, а также о событиях Windows с ИД 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена). |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания учетных записей, например net user или useradd. |
---|
Меры противодействия
ID | M1030 | Название | Сегментация сети | Описание | Настройте средства контроля доступа и брандмауэры для ограничения доступа к контроллерам домена и системам, используемым для создания и управления учетными записями. |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Защитите контроллеры домена, обеспечив правильную конфигурацию безопасности для критически важных серверов. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для учетных записей пользователей и привилегированных учетных записей. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте количество учетных записей с правами на создание других учетных записей. Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах. |
---|