T1136-001-win-创建本地账户
来自ATT&CK的描述
具有足够访问级别权限的攻击者可以创建本地系统或域账号。此类账号可用于持久性,不需要在系统上部署持久性远程访问工具。
在云环境中,攻击者可能会创建仅用于访问特定服务的账户,从而减少被检测到的可能。
Windows
可使用net user命令来创建本地或域账号。
Office 365
有权访问全局管理员账户的攻击者可以创建其他账户,并为其分配全局管理员角色以便能持久访问Office 365租户。
测试案例
利用Net user命令创建本地用户
检测日志
windows 安全日志
测试复现
本地创建账户
Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。
C:\Windows\system32>net user admin.123 admin1 /add
命令成功完成。
测试留痕
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2020/6/7 22:09:21
事件 ID: 4720 #已创建用户帐户。
任务类别: 用户帐户管理
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: 12306Br0-PC
描述:
已创建用户帐户。
主题:
安全 ID: 12306Br0-PC\12306Br0
帐户名: 12306Br0
帐户域: 12306Br0-PC
登录 ID: 0x75a8e
新帐户:
安全 ID: 12306Br0-PC\admin.123
帐户名: admin.123
帐户域: 12306Br0-PC
属性:
SAM 帐户名: admin.123
显示名称: <未设置值>
用户主体名称: -
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上次设置的密码:<从不>
帐户过期: <从不>
主要组 ID: 513
允许委托给: -
旧 UAC 值: 0x0
新 UAC 值: 0x15
用户帐户控制:
已禁用的帐户
'不要求密码' - 已启用
'普通帐户' - 已启用
用户参数: <未设置值>
SID 历史: -
登录时间(以小时计):全部
附加信息:
特权 -
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4720</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13824</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2020-06-07T14:09:21.622933400Z" />
<EventRecordID>3893</EventRecordID>
<Correlation />
<Execution ProcessID="504" ThreadID="2080" />
<Channel>Security</Channel>
<Computer>12306Br0-PC</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">admin.123</Data>
<Data Name="TargetDomainName">12306Br0-PC</Data>
<Data Name="TargetSid">S-1-5-21-3579006141-3881886638-2121494774-1001</Data>
<Data Name="SubjectUserSid">S-1-5-21-3579006141-3881886638-2121494774-1000</Data>
<Data Name="SubjectUserName">12306Br0</Data>
<Data Name="SubjectDomainName">12306Br0-PC</Data>
<Data Name="SubjectLogonId">0x75a8e</Data>
<Data Name="PrivilegeList">-</Data>
<Data Name="SamAccountName">admin.123</Data>
<Data Name="DisplayName">%%1793</Data>
<Data Name="UserPrincipalName">-</Data>
<Data Name="HomeDirectory">%%1793</Data>
<Data Name="HomePath">%%1793</Data>
<Data Name="ScriptPath">%%1793</Data>
<Data Name="ProfilePath">%%1793</Data>
<Data Name="UserWorkstations">%%1793</Data>
<Data Name="PasswordLastSet">%%1794</Data>
<Data Name="AccountExpires">%%1794</Data>
<Data Name="PrimaryGroupId">513</Data>
<Data Name="AllowedToDelegateTo">-</Data>
<Data Name="OldUacValue">0x0</Data>
<Data Name="NewUacValue">0x15</Data>
<Data Name="UserAccountControl">
%%2080
%%2082
%%2084</Data>
<Data Name="UserParameters">%%1793</Data>
<Data Name="SidHistory">-</Data>
<Data Name="LogonHours">%%1797</Data>
</EventData>
</Event>
检测规则/思路
Sigma规则
title: 本地用户创建
description: 检测Windows服务器上的本地用户创建,这在Active Directory环境中不适用。使用本地日志,非AD日志。
status: 测试阶段
tags:
- attack.persistence
- attack.t1136-001
references:
- https://patrick-bareiss.com/detecting-local-user-creation-in-ad-with-sigma/
author: 12306Br0(翻译)
date: 2020/06/07
logsource:
product: windows
service: security
detection:
selection:
EventID: 4720 #已创建用户帐户。
condition: selection
fields:
- EventCode
- AccountName
- AccountDomain
falsepositives:
- 域控制器日志
- 由特权帐户管理工具管理的本地帐户
level: low
除了基于事件ID4720进行检测外,还可以用事件ID4688进程命令行参数(net user)来进行检测。
Splunk规则
EventID="4720" | table EventCode,AccountName,AccountDomain
建议
建议根据4688进程和命令行参数以及4720相互结合进行检测本地用户创建行为。
参考推荐
MITRE-ATT&CK-T1136-001
https://attack.mitre.org/techniques/T1136/001/
Local User Creation
https://github.com/Neo23x0/sigma/blob/master/rules/windows/builtin/win_user_creation.yml