T1033-系统所有者/用户发现
来自ATT&CK的描述
windows
攻击者可能试图识别主要用户、当前登录用户、通常使用系统的用户集,或者用户是否正在积极使用系统。他们可以这样做,例如,通过检索帐户用户名或使用凭据转储。可以使用其他发现技术以多种不同的方式收集信息,因为用户和用户名详细信息在整个系统中都很常见,包括运行进程所有权、文件目录所有权、会话信息和系统日志。攻击者在自动发现期间使用来自系统所有者/用户发现的信息,来伪造后续行为,包括攻击者是否完全感染目标或尝试特定操作。
MACos
在Mac上,当前登录的用户可以使用users,w和who来进行识别。
linux
在Linux上,可以使用w和标识当前登录的用户who。
测试案例
windows相关命令
- 查询本地用户权限:whoami
- 查询域用户:dsquery user、net user /domain
- 查询域组权限:net group /domain
- 查询域管理员:net group "Domain Admins" /domain
- 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆域:net config Workstation
- 查看域控制器:net group "Domain controllers" (多域控制器的时候,而且只能用在域控制器上)
- 查询所有计算机名称:net group "Domain Computers" /domain(域控不会被列出)
linux who命令
检测日志
windows 安全日志
linux history
测试复现
windows测试
Microsoft Windows [版本 10.0.14393]
(c) 2016 Microsoft Corporation。保留所有权利。
C:\Windows\system32>whoami
icbc\administrator
linux测试
icbc@icbc:~$ who
icbc :0 2019-11-10 18:58 (:0)
icbc@icbc:~$ w
19:03:14 up 5 min, 1 user, load average: 0.08, 0.51, 0.31
USER TTY 来自 LOGIN@ IDLE JCPU PCPU WHAT
icbc :0 :0 18:58 ?xdm? 35.66s 0.02s /usr/lib/gdm3/g
测试留痕
windows 安全日志 4688
linux history日志
检测规则/思路
sigma规则
title: 系统所有者/用户发现
description: windows server 2016/Ubuntu19.04
references:
- https://attack.mitre.org/techniques/T1033/
- https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1033/T1033.md
tags: T1033
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID: 4688 #已创建新的进程。
CommandLine:
- cmd.exe /C whoami
- wmic useraccount get /ALL
- quser /SERVER:"#{computer_name}"
- quser
- qwinsta.exe /server:#{computer_name}
- qwinsta.exe
- for /F "tokens=1,2" %i in ('qwinsta /server:#{computer_name} ^| findstr "Active Disc"') do @echo %i | find /v "#" | find /v "console" || echo %j > usernames.txt
- @FOR /F %n in (computers.txt) DO @FOR /F "tokens=1,2" %i in ('qwinsta /server:%n ^| findstr "Active Disc"') do @echo %i | find /v "#" | find /v "console" || echo %j > usernames.txt
condition: selection
level: low
logsource:
product: linux
service: history
detection:
keywords:
- w
- who
- users
condition: keywords
level: low
建议
暂无
参考推荐
MITRE-ATT&CK-T1033