跳转至

T1136-001-linux-创建用户

来自ATT&CK的描述

攻击者拥有足够的访问级别可以创建本地账户或者域账户。此类账户可以用于权限维持,持久性,不需要在系统上部署后门工具来实现权限维持。

这些Net user命令可用于创建本地或域账户。

测试案例

useradd -o -u 0 -g 0 -M -d / root -s / bin / bash#{用户名}

检测日志

/var/log/auth.log (如果可以的话,我更希望你能够使用audit日志进行检测,它会很方便)

测试复现

icbc@icbc:/$ sudo useradd -o -u 0 -g 0 -M -d /root -s /bin/bash abc(用户名)

icbc@icbc:/$ cat /etc/passwd

root: x:0:0:root:/root:/bin/bash

......

abc: x:0:0:root:/root:/bin/bash

测试留痕

icbc@icbc:/$sudo cat /var/log/auth.log

Aug 9 13:42:33 icbc sudo: icbc : TTY=pts/0 ; PWD=/ ; USER=root ; COMMAND=/usr/sbin/useradd -o -u 0 -g 0 -M -d /root -s /bin/bash abc Aug 9 13:42:34 icbc sudo: pam_unix(sudo:session): session opened for user root by (uid=0) Aug 9 13:42:34 icbc useradd[18979]: new user: name=abc, UID=0, GID=0, home=/root, shell=/bin/bash

检测规则/思路

Root Account Creation: index=linux source="/var/log/auth.log" eventtype=useradd UID=0 OR GID=0

参考推荐

MITRE-ATT&CK-T1136-001

https://attack.mitre.org/techniques/T1136/001/

linux命令详解之useradd命令使用方法

https://blog.csdn.net/u011537073/article/details/51987121