跳转至

T1036-windows-隐藏用户账户带$符号

来自ATT&CK的描述

伪装指的是攻击者操纵或滥用可执行文件(不管是合法还是恶意的)的名称或位置来逃避防御和观察。已经发现了以下几种技术变体:

一种变体是将可执行文件放在通常受信任的目录中,或者将文件命名为合法受信任程序的名称。另外,也可能将文件命名为与合法程序很相近的名称,或其它无伤大雅的名称。比如,移动并重命名一个公共系统实用工具或程序来规避其对其使用情况的检测。这样做是为了绕过依赖文件名或路径来信任可执行文件的工具,以及通过将文件名与其它合法事物相关联来欺骗防御程序和系统管理员认为文件是善意的。

另外一种变体使用从右向左覆盖(RTLO或RLO)字符(U+202E)的方法诱骗用户执行他们认为的善意文件类型但实际上是可执行代码。RTLO是非打印字符,它会导致后面的文本反向显示。例如,一个名为March 25 \u202Excod.scr 的Windows屏幕保护程序文件将显示为March 25 rcs.docx,名为 photo_high_re\u202Egnp.js 的JavaScript文件将显示为photo_high_resj.png。这种技术的一个常见做法是使用网络钓鱼攻击附件,因为它可以欺骗邮件双方和防御程序,如果恰好他们不知道自己的工具如何显示和呈现RTLO字符。在许多针对性的入侵企图和犯罪活动中都可以看到RTLO字符的使用。RTLO也可用于Windows注册表,其中regedit.exe显示相反的字符,但命令行工具reg.exe默认情况下不这么显示。

攻击者可能会修改二进制文件的元数据,包括图标、版本、产品名称、描述和版权等字段,以便更好地与环境融合,增加欺骗安全分析师或产品的可能性。

Windows

在这种技术的另一种变体中,攻击者可能会使用合法实用程序的重命名副本,例如rundll32.exe。另一种情况是,将合法实用程序移动到其他目录并重命名来规避从非标准路径执行的系统实用程序的检测。

举例:Windows中,攻击者会滥用受信任位置C:\Windows\System32,会把恶意二进制文件命名为受信任二进制名称“explorer.exe”和“svchost.exe”。

Linux

此技术的另一个变体包括恶意二进制文件启动后(与以前相反)将运行进程的名称更改为可信或良性进程的名称。

举例:Linux中,攻击者会滥用受信任位置/bin,会把恶意二进制文件命名为受信任二进制名称“rsyncd”和“dbus-inotifier”

测试案例

利用net命令添加用户,修改用户为隐藏用户,隐藏效果,仅NET USER命令不可查找。

检测日志

windows security

测试复现

net user创建用户

C:\Windows\system32>net user admin97$ admin /add
命令成功完成。


C:\Windows\system32>net user

\\12306BR0-PC 的用户帐户

-------------------------------------------------------------------------------
12306Br0                 admin.098                admin.123
Administrator            Guest
命令成功完成。

修改用户

无测试场景,待补充

测试留痕

Event-ID:4720

已创建用户帐户。

主题:
 安全 ID: 12306Br0-PC\12306Br0
 帐户名: 12306Br0
 帐户域: 12306Br0-PC
 登录 ID: 0x53e6a

新帐户:
 安全 ID: 12306Br0-PC\admin97$
 帐户名: admin97$
 帐户域: 12306Br0-PC

属性:
 SAM 帐户名: admin97$
 显示名称: <未设置值>
 用户主体名称: -
 主目录: <未设置值>
 主驱动器: <未设置值>
 脚本路径: <未设置值>
 配置文件路径: <未设置值>
 用户工作站: <未设置值>
 上次设置的密码:<从不>
 帐户过期: <从不>
 主要组 ID: 513
 允许委托给: -
 旧 UAC 值: 0x0
 新 UAC 值: 0x15
 用户帐户控制:
 已禁用的帐户
 '不要求密码' - 已启用
 '普通帐户' - 已启用
 用户参数: <未设置值>
 SID 历史: -
 登录时间(以小时计):全部

附加信息:
 特权 -

检测规则/思路

sigma规则

title: 在属性'SamAccountName'中使用'$'的新用户帐户或重命名用户帐户
status: experimental
description: 通过异常的用户帐户名检测可能的旁路EDR和SIEM。
tags:
    - attack.defense_evasion
    - attack.t1036
author: 12306Br0(测试+翻译)
date: 2020/06/09
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID:
            - 4720 # 创建用户
            - 4781 # 修改用户名
        UserName|contains: '$'    #Sam用户名
    condition: selection
fields:
    - EventID
    - UserName
    - SubjectAccountName
falsepositives:
    - Unkown
level: high

建议

暂无

参考推荐

MITRE-ATT&CK-T1036

https://attack.mitre.org/techniques/T1036/