ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1087

术语表: /attack/glossary

账户披露

攻击者可能试图获取本地系统或域帐户的列表。

Windows

中可以获取这些信息的示例命令有使用 net 实用程序的 net usernet groupnet localgroup,还有 dsquery 。如果攻击者试图识别主要用户、当前登录用户或通常使用系统的用户,则可以使用系统所有者/用户披露(System Owner/User Discovery)技术。

Mac

Mac 中,可以通过 groups 和 id 命令枚举用户组。特别地,在 mac 中,也可以用 dscl . list /Groups 和 dscacheutil -q group 命令枚举组和用户。

Linux

在 Linux 中,本地用户可以通过使用/etc/passwd 枚举文件,该文件具有全局可读性。在 mac 中,除了/etc/master.passwd 之外,这个文件只在单用户模式下使用。此外,可以通过 groupsid 命令枚举组。­

缓解

当应用程序通过 UAC 升级时,防止枚举管理员帐户,因为它会泄露帐户名称。 注册表项位于 HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators 可以通过 GPO 禁用: 计算机配置>[策略]>管理模板> Windows 组件>凭据用户界面:Enumerate administrator accounts on elevation.

识别可能用于获取系统和域帐户信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件,而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分,例如横向移动。 监视可以收集系统和网络信息的进程和命令行参数的操作。