Техника на mitre.org

T1564.002: Скрытые пользователи

Злоумышленники могут скрывать учетные записи, которые они создают или изменяют. Администраторы могут скрывать определенные учетные записи, если в системе много пользователей или чтобы другие пользователи не видели их административные учетные записи.

В macOS злоумышленники могут скрыть существующую учетную запись или сразу создать скрытого пользователя посредством манипуляций с файлами PLIST, атрибутами папок и атрибутами пользователя. Чтобы пользователь не отображался на экране входа в систему и в системных настройках, злоумышленники могут установить идентификатор userID меньше 500 и установить для параметра Hide500Users значение TRUE в файле PLIST /Library/Preferences/com.apple.loginwindow. С каждым пользователем связан определенный userID. Если для параметра Hide500Users установлено значение TRUE, пользователи с userID меньше 500 не отображаются на экране входа в систему и в системных настройках. Злоумышленники могут воспользоваться утилитой dscl, чтобы создавать через командную строку скрытые учетные записи пользователей, устанавливая для атрибута IsHidden значение 1. Злоумышленники также могут скрыть домашнюю папку пользователя, установив флаг hidden с помощью утилиты chflags.

Аналогичным образом злоумышленники могут скрывать учетные записи пользователей в Windows. Злоумышленники могут установить в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList значение 0 с именем определенного пользователя, чтобы этот пользователь не отображался на экране входа в систему.

В системах Linux злоумышленники могут скрывать учетные записи пользователей на экране входа в систему, также известном как экран приветствия. Используемый злоумышленником метод зависит от менеджера входа, установленного в дистрибутиве. Например, в системе Ubuntu, использующей GNOME Display Manager (GDM), можно скрыть учетные записи на экране приветствия с помощью команды gsettings (пример: sudo -u gdm gsettings set org.gnome.login-screen disable-user-list true). Менеджеры входа не привязаны к конкретным дистрибутивам и могут заменяться пользователем или злоумышленником.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-1661: Unix_Hidden_User: Попытка скрыть учетную запись пользователя на экране приветствия mitre_attck_defense_evasion: PT-CR-643: Hide_Account_From_Logon_Screen: Имя пользователя скрыто с экрана приветствия

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут добавить нового пользователя и затем скрыть его учетную запись с экрана входа в систему.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут создавать скрытые учетные записи, чтобы не привлекать внимания к новым или измененным пользователям. Отслеживайте нетипичные изменения значения параметра `Hide500Users` в файле PLIST `/Library/Preferences/com.apple.loginwindow` в macOS.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Создание учетной записи	Описание	Отслеживайте в macOS создание учетных записей пользователей, особенно те, у которых идентификатор пользователя меньше 500. Они могут маскировать присутствие учетных записей пользователей, которые создаются или изменяются с их помощью.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте неожиданные изменения в ключах реестра Windows или значениях на предмет модификации ключа `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList`.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для добавления нового пользователя и последующего скрытия его учетной записи с экрана входа в систему.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Метаданные учетной записи	Описание	Отслеживайте контекстные данные учетных записей (такие как имя и идентификатор пользователя и данные о среде), с помощью которых злоумышленники могут маскировать создаваемые или изменяемые ими учетные записи пользователей. В macOS отслеживайте пользователей, у которых значение идентификатора пользователя меньше 500 и значение ключа `Hide500Users` в файле PLIST `/Library/Preferences/com.apple.loginwindow` равно `TRUE`.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут добавить нового пользователя и затем скрыть его учетную запись с экрана входа в систему.
DS0022	Файл: Изменение файла	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут создавать скрытые учетные записи, чтобы не привлекать внимания к новым или измененным пользователям. Отслеживайте нетипичные изменения значения параметра `Hide500Users` в файле PLIST `/Library/Preferences/com.apple.loginwindow` в macOS.
DS0002	Учетная запись пользователя: Создание учетной записи	Отслеживайте в macOS создание учетных записей пользователей, особенно те, у которых идентификатор пользователя меньше 500. Они могут маскировать присутствие учетных записей пользователей, которые создаются или изменяются с их помощью.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте неожиданные изменения в ключах реестра Windows или значениях на предмет модификации ключа `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList`.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для добавления нового пользователя и последующего скрытия его учетной записи с экрана входа в систему.
DS0002	Учетная запись пользователя: Метаданные учетной записи	Отслеживайте контекстные данные учетных записей (такие как имя и идентификатор пользователя и данные о среде), с помощью которых злоумышленники могут маскировать создаваемые или изменяемые ими учетные записи пользователей. В macOS отслеживайте пользователей, у которых значение идентификатора пользователя меньше 500 и значение ключа `Hide500Users` в файле PLIST `/Library/Preferences/com.apple.loginwindow` равно `TRUE`.

Меры противодействия

ID	M1028	Название	Изменение конфигурации ОС	Описание	Если компьютер подключен к домену, то групповая политика может помочь ограничить возможность создания или скрытия пользователей. Аналогично, запрет на изменение значения `/Library/Preferences/com.apple.loginwindow` `Hide500Users` принудительно сделает всех пользователей видимыми.

ID	Название	Описание
M1028	Изменение конфигурации ОС	Если компьютер подключен к домену, то групповая политика может помочь ограничить возможность создания или скрытия пользователей. Аналогично, запрет на изменение значения `/Library/Preferences/com.apple.loginwindow` `Hide500Users` принудительно сделает всех пользователей видимыми.