攻撃者は、初期ユーザー、現在ログインしているユーザー、システムをよく使用するユーザーのセット、またはユーザーがシステムをアクティブに使用しているかどうかを識別しようとする場合があります。たとえば、アカウントのユーザー名を取得したり、Credential Dumpingを使用したりすることで、これを実行することがあります。ユーザーおよびユーザー名の詳細は、実行中のプロセスの所有権、ファイル/ディレクトリの所有権、セッション情報、およびシステムログを通して、システム全体で広く行き渡っているため、情報は他の探索テクニックを使用してさまざまな方法で収集されます。攻撃者がターゲットが完全に感染しているか、特定のアクションを試みるかなど、後続の動作を形成するために、攻撃者は、自動検出中にSystem Owner / User Discoveryからの情報を使用することもあります。
Macでは、現在のログインユーザはusers
,w
, および who
で特定できます。
Linuxでは、現在のログインユーザは、 w
および who
で特定できます。
Name | Description |
---|---|
Agent Tesla |
Agent Tesla は、被害者のマシンからユーザー名を収集します。[29][30] |
Agent.btz | |
APT19 |
APT19 は、HTTPマルウェアバリアントとPort22マルウェアバリアントを使用して、被害者のユーザー名を収集しました。[78] |
APT3 |
APT3 ダウンローダーは、権限を昇格して実行していることを確認するためにWindowsコマンド |
APT32 | |
APT37 | |
APT39 | |
APT41 |
APT41 は、リモートマシンで |
Azorult | |
BabyShark | |
Backdoor.Oldrea |
Backdoor.Oldrea は、被害者から現在のユーザー名を収集します。[18] |
BISCUIT | |
Cannon | |
Cardinal RAT |
Cardinal RAT は、被害者のマシンからユーザー名を収集できます。[40] |
DarkComet | |
Denis | |
Derusbi |
A Linux version of Derusbi のLinuxバージョンは、被害者のユーザーIDがゼロ(通常はルートに使用される)以外であるかどうかをチェックし、ルート権限がない場合、マルウェアは実行されません。Derusbi は、被害者のユーザー名も収集します。[6] |
DownPaper | |
Dragonfly 2.0 |
Dragonfly 2.0 は、被害端末で |
Epic | |
Felismus | |
FELIXROOT | |
FIN10 | |
FlawedAmmyy |
FlawedAmmyy は、最初の感染時に現在のユーザーを列挙します。[65] |
Gamaredon Group |
Gamaredon Group ファイルスティーラーは、被害者のユーザー名を収集してC2サーバーに送信できます。[87] |
Gazer | |
Gold Dragon |
Gold Dragon はエンドポイントの被害者のユーザー名を収集し、C2サーバーから追加のコンポーネントをダウンロードするための基盤として使用します。[5] |
GravityRAT |
GravityRAT は、被害端末のユーザー名と他のアカウント情報(アカウントタイプ、説明、氏名、SID、およびステータス)を収集します。[20] |
HAPPYWORK |
HAPPYWORKは、被害端末のユーザ名を収集できます。[4] |
HAWKBALL | |
InvisiMole |
InvisiMole は、ローカルユーザーとセッション情報をリストします。[45] |
Ixeshe | |
JPIN | |
Kazuar | |
Koadic | |
Komplex | |
KONNI | |
Kwampirs |
Kwampirs は、コマンド |
Lazarus Group | |
Linux Rabbit |
Linux Rabbit は、ポート22でソケットを開き、応答を受信すると、マシンのホスト名とトップレベルドメインを取得しようとします。[62] |
Magic Hound |
Magic Hound マルウェアは、被害者のユーザー名を取得し、C2サーバーに送信しました。[84] |
Micropsia | |
MirageFox | |
Mis-Type | |
MoonWind | |
More_eggs | |
Mosquito | |
MuddyWater |
MuddyWater は、被害端末のユーザー名を収集できるマルウェアを使用しています。[76] |
NanHaiShu | |
NDiskMonitor |
NDiskMonitor は被害端末のユーザー名を取得し、その情報を暗号化してC2チャンネルで送信します。[28] |
njRAT | |
NOKKI | |
Octopus | |
OilRig | |
Patchwork |
Patchworkは、被害端末のユーザー名と管理者として実行されているかどうかを収集し、情報をC2サーバーに送信しました。[85][28] |
PowerDuke | |
POWRUNER |
POWRUNER は、被害端末に対して |
Prikormka | |
Pupy |
Pupy は、Linuxホストのローカル情報を列挙でき、Windowsホストの現在ログオンしているユーザーを見つけることができます。[1] |
QUADAGENT | |
RATANKBA | |
Reaver | |
RedLeaves |
RedLeaves は、ローカルおよびリモートデスクトップセッションの両方で、ログオンしているユーザーに関する情報を取得できます。[3] |
Remsec | |
Revenge RAT |
Revenge RAT は、は、システムからユーザー名を収集します。[64] |
RGDoor | |
RogueRobin |
RogueRobinは、被害端末のユーザ名と管理者であるかどうかを収集します。[55] |
RTM | |
ServHelper |
ServHelper は、被害端末のユーザー名を列挙しようとします。[66] |
Soft Cell |
Soft Cell は、被害端末のユーザ情報を得るために |
SpeakUp | |
SslMM | |
Stealth Falcon |
Stealth Falconのマルウェアは、WMIを介して登録ユーザーとプライマリオーナー名を収集します。[75] |
SynAck | |
Sys10 | |
T9000 |
T9000は、インストール中に、ログインしたアカウントのユーザー名を収集してビーコンを送信します。また、実行中のプロセスのユーザー名を収集して、SYSTEアカウントで実行されているかどうかを判断します。[13] |
Tropic Trooper |
Tropic Trooperは、ターゲットシステムに保存されたユーザー名をスキャンするために、 |
Unknown Logger |
Unknown Logger は、被害端末のユーザー名に関する情報を取得できます。[8] |
UPPERCUT | |
VERMIN | |
WINDSHIELD |
WINDSHIELDは、システムのユーザー名を収集できます。[56] |
WINERACK | |
WinMM |
WinMMは、 ローカルシステムのAdminアカウントで実行されていることを確認するために NetUser-GetInfo を利用します。[35] |
XAgentOSX | |
yty | |
Zebrocy | |
zwShell | |
ZxShell |
このタイプの攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。
通常、システムおよびネットワークの探索テクニックは、攻撃者が環境を調査する際に発生します。データとイベントは単独で現れるのではなく、取得した情報に基づいて、他のアクティビティにつながる可能性のある一連の動作の一部とみなします。
システムおよびネットワーク情報を収集するために実行できるアクションのプロセスとコマンドライン引数を監視します。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接対話して情報を収集する場合があります。情報は Windows Management InstrumentationやPowerShellなどのWindowsシステム管理ツールを通じても取得されることもあります。