跳转至

T1033-系统所有者/用户发现

来自ATT&CK的描述

windows

攻击者可能试图识别主要用户、当前登录用户、通常使用系统的用户集,或者用户是否正在积极使用系统。他们可以这样做,例如,通过检索帐户用户名或使用凭据转储。可以使用其他发现技术以多种不同的方式收集信息,因为用户和用户名详细信息在整个系统中都很常见,包括运行进程所有权、文件目录所有权、会话信息和系统日志。攻击者在自动发现期间使用来自系统所有者/用户发现的信息,来伪造后续行为,包括攻击者是否完全感染目标或尝试特定操作。

MACos

在Mac上,当前登录的用户可以使用users,w和who来进行识别。

linux

在Linux上,可以使用w和标识当前登录的用户who。

测试案例

windows相关命令
- 查询本地用户权限:whoami
- 查询域用户:dsquery user、net user /domain
- 查询域组权限:net group /domain
- 查询域管理员:net group "Domain Admins" /domain
- 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆域:net config Workstation
- 查看域控制器:net group "Domain controllers" (多域控制器的时候,而且只能用在域控制器上)
- 查询所有计算机名称:net group "Domain Computers" /domain(域控不会被列出)

linux who命令

检测日志

windows 安全日志

linux history

测试复现

windows测试

Microsoft Windows [版本 10.0.14393]
(c) 2016 Microsoft Corporation。保留所有权利。

C:\Windows\system32>whoami
icbc\administrator

linux测试

icbc@icbc:~$ who
icbc     :0           2019-11-10 18:58 (:0)
icbc@icbc:~$ w
 19:03:14 up 5 min,  1 user,  load average: 0.08, 0.51, 0.31
USER     TTY      来自           LOGIN@   IDLE   JCPU   PCPU WHAT
icbc     :0       :0               18:58   ?xdm?  35.66s  0.02s /usr/lib/gdm3/g

测试留痕

windows 安全日志 4688

linux history日志

检测规则/思路

sigma规则

title: 系统所有者/用户发现
description: windows server 2016/Ubuntu19.04
references: 
        - https://attack.mitre.org/techniques/T1033/
        - https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1033/T1033.md
tags: T1033
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4688 #已创建新的进程。
        CommandLine:
                - cmd.exe /C whoami
                - wmic useraccount get /ALL
                - quser /SERVER:"#{computer_name}"
                - quser
                - qwinsta.exe /server:#{computer_name}
                - qwinsta.exe
                - for /F "tokens=1,2" %i in ('qwinsta /server:#{computer_name} ^| findstr "Active Disc"') do @echo %i | find /v "#" | find /v "console" || echo %j > usernames.txt
                - @FOR /F %n in (computers.txt) DO @FOR /F "tokens=1,2" %i in ('qwinsta /server:%n ^| findstr "Active Disc"') do @echo %i | find /v "#" | find /v "console" || echo %j > usernames.txt
    condition: selection
level: low
logsource:
    product: linux
    service: history
detection:
    keywords:
       - w
       - who
       - users
    condition: keywords
level: low

建议

暂无

参考推荐

MITRE-ATT&CK-T1033

https://attack.mitre.org/techniques/T1033/