跳转至

T1098-win-账户操作

来自ATT&CK的描述

帐户操作可以帮助攻击者维持在环境中对凭据和某些权限级别的访问。账户操作可能包括修改权限,修改凭据,添加或更改权限组,修改帐户设置或修改执行身份验证等方式。为了创建或操纵帐户,攻击者必须已经对系统或域具有足够的权限。

测试案例

使用windows系统自身的一些安全进程(CMD/Powershell等)来执行这些操作,也可以利用一些经典的工具来进行账户操作(mimikatz等)。前提是你已经对系统或者域具有足够的权限。

检测日志

windows 安全日志

测试复现

C:\Windows\system32>net user test321 Test.321 /add
命令成功完成。

测试留痕

windows安全事件ID,多事件关联分析

检测规则/思路

Sigma规则

title: Net.exe创建本地用户
status: 测试阶段
description: 通过创建本地用户net.exe文件命令
tags:
    - attack.t1098
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        Eventid:
            - 4688 #进程创建,windows 安全日志,Windows server 2012及以上版本配置相关审核策略,可记录系统命令行参数
            - 1    #进程创建,Windows sysmon日志,需要自行安装并配置sysmon
        Image|endswith: 
            - '\net.exe'
            - '\net1.exe'
        CommandLine|contains|all: 
            - 'user'
            - 'add'
    condition: selection
fields:
    - ComputerName
    - User
    - CommandLine
falsepositives:
    - Legit user creation
    - Better use event ids for user creation rather than command line rules
level: medium

建议

参考推荐

MITRE-ATT&CK-T1098

https://attack.mitre.org/techniques/T1098/