T1136-001-linux-创建用户
来自ATT&CK的描述
攻击者拥有足够的访问级别可以创建本地账户或者域账户。此类账户可以用于权限维持,持久性,不需要在系统上部署后门工具来实现权限维持。
这些Net user命令可用于创建本地或域账户。
测试案例
useradd -o -u 0 -g 0 -M -d / root -s / bin / bash#{用户名}
检测日志
/var/log/auth.log (如果可以的话,我更希望你能够使用audit日志进行检测,它会很方便)
测试复现
icbc@icbc:/$ sudo useradd -o -u 0 -g 0 -M -d /root -s /bin/bash abc(用户名)
icbc@icbc:/$ cat /etc/passwd
root: x:0:0:root:/root:/bin/bash
......
abc: x:0:0:root:/root:/bin/bash
测试留痕
icbc@icbc:/$sudo cat /var/log/auth.log
Aug 9 13:42:33 icbc sudo: icbc : TTY=pts/0 ; PWD=/ ; USER=root ; COMMAND=/usr/sbin/useradd -o -u 0 -g 0 -M -d /root -s /bin/bash abc Aug 9 13:42:34 icbc sudo: pam_unix(sudo:session): session opened for user root by (uid=0) Aug 9 13:42:34 icbc useradd[18979]: new user: name=abc, UID=0, GID=0, home=/root, shell=/bin/bash
检测规则/思路
Root Account Creation: index=linux source="/var/log/auth.log" eventtype=useradd UID=0 OR GID=0
参考推荐
MITRE-ATT&CK-T1136-001
https://attack.mitre.org/techniques/T1136/001/
linux命令详解之useradd命令使用方法