ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1147

术语表: /attack/glossary

隐藏用户

macOS 中的每个用户帐户都有一个与之关联的用户 ID。 在创建用户时,可以为该帐户指定用户 ID。 /Library/Preferences/com.apple.loginwindow 的 Hide500Users 属性可以在登录屏幕上隐藏用户 ID 500 及以下的用户。 通过创建用户 ID 小于 500 的账户并启用此属性(将其设置为 Yes),攻击者可以更容易地隐藏其用户帐户:sudo dscl . -create /Users/username UniqueID 401 .

缓解

如果计算机已加入域,那么组策略可以帮助限制创建或隐藏用户。 类似地,阻止修改/Library/Preferences/com.apple.loginwindowHide500Users 值将强制所有用户可见。

检测

这种技术可以防止新用户在登录屏幕显示,但是新用户的所有其他标志仍然存在。 用户仍然获得 home 目录并将出现在身份验证日志中。