Техника на mitre.org

T1136.001: Локальная учетная запись

Злоумышленники могут создать локальную учетную запись с целью сохранения доступа к целевой системе. Локальные учетные записи настраиваются организацией для работы пользователей и служб, удаленной поддержки, а также администрирования в рамках одной системы или сервиса.

Например, при достаточном уровне доступа для создания локальной учетной записи можно использовать команду Windows net user /add. В системах на базе macOS для создания локальной учетной записи можно использовать команду dscl -create. Локальные учетные записи также можно добавлять на сетевые устройства (часто для этого существуют стандартные команды интерпретатора командной строки сетевых устройств, такие как username), а также в кластеры Kubernetes с помощью утилиты kubectl.

Такие учетные записи могут использоваться для реализации дополнительной возможности авторизованного доступа, не требующей развертывания в системе инструментов для постоянного удаленного доступа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mongo_database: PT-CR-526: MongoDB_Create_Root_User: Попытка создать учетную запись типа "root" mongo_database: PT-CR-525: MongoDB_Create_High_Role_User: Попытка создать привилегированную учетную запись enterprise_1c_and_bitrix: PT-CR-672: Enterprise_1C_Create_User_Without_Password: Создана учетная запись пользователя без пароля vulnerabilities: PT-CR-2293: CVE_2024_27198_TeamCity_Authentication_Bypass: Эксплуатация уязвимости CVE-2024-27198 в TeamCity. Уязвимость позволяет злоумышленнику обойти процесс аутентификации, чтобы создать нового пользователя TeamCity с правами администратора или токен доступа для пользователя. Это может быть использовано для удаленного выполнения команд vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора mitre_attck_execution: PT-CR-1908: Execute_Over_WER_Service: Злоумышленники могут воспользоваться уязвимостью службы WER, которая позволяет подменить исполняемый файл и запустить файл злоумышленников с системными привилегиями unix_mitre_attck_persistence: PT-CR-1668: Unix_User_Creation: Создание учетной записи с определением ее типа и использование подозрительных аргументов в команде создания записи web_servers_abnormal_activity: PT-CR-1974: Web_Servers_Abnormal_Activity_Persistence_Via_User_Creation: Злоумышленник может создать новую учетную запись пользователя и действовать через него, чтобы закрепиться в системе mitre_attck_persistence: PT-CR-259: Account_Created_On_Local_System: Обнаружена попытка создать локальную или доменную учетную запись и добавить ее в группу локальных администраторов mitre_attck_persistence: PT-CR-264: Add_New_User_In_Commandline: Обнаружена попытка создать учетную запись при помощи командной строки или PowerShell mitre_attck_persistence: PT-CR-260: Fast_Create_And_Delete_Account: Обнаружена попытка создать и удалить учетную запись в течение короткого промежутка времени sap_suspicious_user_activity: PT-CR-232: SAPASABAP_Critical_Action_By_Non_Admin_User: Пользователь, не имеющий административных полномочий, выполнил критически опасное действие в системе clickhouse: PT-CR-1574: ClickHouse_Create_User_With_Plaintext_Password: Обнаружена попытка создания пользователя с незашифрованным паролем clickhouse: PT-CR-1581: ClickHouse_Create_User_Without_Password: Обнаружена попытка создания пользователя без пароля apache_cassandra_database: PT-CR-2088: Apache_Cassandra_Create_Superuser_Role: Попытка создать роль суперпользователя. Это может быть действием злоумышленника с целью скрыть свою активность с помощью новой учетной записи с правами "root" vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud. Злоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows grafana_labs: PT-CR-2327: Grafana_Service_Account_Created: Создана новая служебная учетная запись, которую злоумышленник может использовать для повышения привилегий и развития атаки infowatch_tm: PT-CR-2512: Infowatch_TM_Persistence_Via_User_Creation: Злоумышленник может создать новую учетную запись пользователя и действовать через него, чтобы закрепиться в системе hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания локальных учетных записей, например `net user /add`, `useradd`, `dscl -create` и `kubectl create serviceaccount`.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Создание учетной записи	Описание	Используйте аудит учетных записей для отслеживания создания учетных записей пользователей и служб, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети и кластере Kubernetes, а также о событиях Windows с идентификатором 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена).

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как `net.exe`. Аналитика 1. Создание учетных записей локальных администраторов через net.exe `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (Image= C:\Windows\System32\net.exe OR Image= C:\Windows\System32\net1.exe ) AND CommandLine = * -exportPFX * )`

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания локальных учетных записей, например `net user /add`, `useradd`, `dscl -create` и `kubectl create serviceaccount`.
DS0002	Учетная запись пользователя: Создание учетной записи	Используйте аудит учетных записей для отслеживания создания учетных записей пользователей и служб, чтобы выявить подозрительные, которые могли быть созданы злоумышленниками. Собирайте данные о создании учетных записей в сети и кластере Kubernetes, а также о событиях Windows с идентификатором 4720 (фиксирующих случаи создания учетной записи пользователя в системе Windows и в контроллере домена).
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, связанных с созданием учетных записей, таких как `net.exe`. Аналитика 1. Создание учетных записей локальных администраторов через net.exe `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") (Image= C:\Windows\System32\net.exe OR Image= C:\Windows\System32\net1.exe ) AND CommandLine = * -exportPFX * )`

Меры противодействия

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте количество учетных записей, которым разрешено создавать другие учетные записи. Ограничьте использование учетных записей локальных администраторов для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников.

ID	Название	Описание
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей.
M1026	Управление привилегированными учетными записями	Ограничьте количество учетных записей, которым разрешено создавать другие учетные записи. Ограничьте использование учетных записей локальных администраторов для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников.