攻撃者は、ローカルシステムまたはドメインアカウントのリストを取得しようとする場合があります。
この情報を取得できるコマンドの例は、 net user
, net group
, net localgroup
, といったNetユーティリティの利用、もしくはdsqueryの利用があります。攻撃者が初期ユーザー、現在ログインしているユーザー、またはシステムをよく使用するユーザーのセットを特定しようとすると、System Owner/User Discoveryが適用される場合があります。
Macでは、 groups
および id
コマンドを使用してグループを列挙できます。特にMacでは、 dscl . list /groups
および dscacheutil -q group
もまたユーザおよびグループの列挙に使用されます。
Linuxでは、ローカルユーザーは、誰でも読み取り可能な /etc/passwd
ファイルを使用して列挙できます。 Macでは、この同じファイルは、 /etc/master.passwd
ファイルに加えて、シングルユーザーモードでのみ使用されます。
また、グループはgroups
およびid
コマンドで列挙できます。
認証されたアクセスには、アカウントの探索に使用できるツールがいくつかあります。 Get-MsolRoleMember
PowerShellコマンドレットを使用して、ロールまたは権限グループが指定されたアカウント名を取得できます。[1][2]
Azure CLI(AZ CLI)も、ドメインへの認証されたアクセスを持つユーザーアカウントを取得するためのインターフェイスを提供します。コマンドaz ad user list
は、ドメイン内のすべてのユーザーを列挙します。[3][4]
Get-GlobalAddressList
PowerShellコマンドレットを使用して、認証済みセッションを使用してドメインから電子メールアドレスとアカウントを取得できます。[5][6]
Name | Description |
---|---|
admin@338 |
admin@338 は、LOWBALLマルウェアにマシンを感染させた後、次のコマンドを使用してユーザーアカウントを列挙しました。 |
Agent Tesla |
Agent Tesla は、被害者のマシンからアカウント情報を収集します。[28] |
APT1 |
APT1 は、システムのアカウントを見つけるために、 |
APT3 |
APT3 は、ローカルおよびグローバルグループユーザー、パワーユーザー、および管理者に関する情報を取得できるツールを使用しています。[21] |
APT32 |
APT32 は、 |
Bankshot | |
BRONZE BUTLER |
BRONZE BUTLER は、アカウント情報を識別するために |
Carbon | |
Comnie | |
Dragonfly 2.0 |
Dragonfly 2.0 は、被害環境のユーザを列挙するためにバッチスクリプトを使いました。[47] |
dsquery | |
Duqu | |
Elise | |
Empire | |
Epic | |
FIN6 |
FIN6 は、被害者のActive Directoryデータベースのコピーを取得するため Metasploitの PsExec NTDSGRAB モジュールを使用します。 [38] |
GeminiDuke |
GeminiDukeは、被害者からローカルユーザーアカウントに関する情報を収集します。[31] |
InvisiMole |
InvisiMoleには、被害者のマシンのアカウント情報をリストするコマンドがあります。[22] |
Kazuar | |
Ke3chang |
Ke3chang は、特定の権限グループで |
Kwampirs | |
MailSniper |
MailSniper は、 |
menuPass |
menuPass は、Microsoft管理ツールのcsvde.exeを使用してActive Directoryデータをエクスポートしました。[42] |
Mis-Type |
Mis-Type は、 |
MURKYTOP | |
Net |
|
OilRig |
OilRigは、被害者のアカウントリストを得るために |
OSInfo | |
Poseidon Group |
Poseidon Group は、ローカルの被害端末とネットワークの両方で管理者アカウントを検索します。[48] |
PoshC2 | |
PowerSploit |
PowerSploitの |
POWERSTATS |
POWERSTATS は、感染したホストからユーザー名を取得できます。[25] |
POWRUNER |
POWRUNER は、被害者に対して |
PUNCHBUGGY |
PUNCHBUGGY は、ユーザ名を集めることができます。[37] |
Pupy |
Pupy はPowerViewとPywerviewを使用して、ネットユーザー、ネットグループ、ネットローカルグループなどの探索コマンドを実行します。[11] |
RATANKBA | |
Remsec | |
S-Type |
S-Typeは、被害端末で |
SHOTPUT | |
Sykipot |
Sykipot は、 |
Threat Group-3390 |
Threat Group-3390は、システムの内部探索を実行するために |
TrickBot |
Mitigation | Description |
---|---|
Operating System Configuration オペレーティングシステムの構成 |
アプリケーションがUACを介して昇格するときに、アカウント名の開示につながる可能性があるため、管理者アカウントが列挙されないようにします。レジストリキーは |
通常、システムおよびネットワークの探索テクニックは、攻撃者が環境を調査する際に発生します。データとイベントは単独で現れるのではなく、取得した情報に基づいて、横展開(侵入拡大)などの他のアクティビティにつながる可能性のある一連の動作の一部とみなします。
システムおよびネットワーク情報を収集するために実行できるアクションのプロセスとコマンドライン引数を監視します。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接対話して情報を収集する場合があります。情報は Windows Management InstrumentationやPowerShellなどのWindowsシステム管理ツールを通じても取得されることもあります。