译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1087
术语表: /attack/glossary
攻击者可能试图获取本地系统或域帐户的列表。
中可以获取这些信息的示例命令有使用 net 实用程序的 net user
、net group
和 net localgroup
,还有 dsquery 。如果攻击者试图识别主要用户、当前登录用户或通常使用系统的用户,则可以使用系统所有者/用户披露(System Owner/User Discovery)技术。
Mac 中,可以通过 groups 和 id 命令枚举用户组。特别地,在 mac 中,也可以用 dscl . list /Groups 和 dscacheutil -q group 命令枚举组和用户。
在 Linux 中,本地用户可以通过使用/etc/passwd
枚举文件,该文件具有全局可读性。在 mac 中,除了/etc/master.passwd
之外,这个文件只在单用户模式下使用。此外,可以通过 groups
和 id
命令枚举组。
当应用程序通过 UAC 升级时,防止枚举管理员帐户,因为它会泄露帐户名称。
注册表项位于 HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
可以通过 GPO 禁用:
计算机配置>[策略]>管理模板> Windows 组件>凭据用户界面:Enumerate administrator accounts on elevation.
识别可能用于获取系统和域帐户信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。
由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件,而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分,例如横向移动。 监视可以收集系统和网络信息的进程和命令行参数的操作。