Account Discovery
アカウントの探索

攻撃者は、ローカルシステムまたはドメインアカウントのリストを取得しようとする場合があります。

Windows

この情報を取得できるコマンドの例は、 net user, net group, net localgroup, といったNetユーティリティの利用、もしくはdsqueryの利用があります。攻撃者が初期ユーザー、現在ログインしているユーザー、またはシステムをよく使用するユーザーのセットを特定しようとすると、System Owner/User Discoveryが適用される場合があります。

Mac

Macでは、 groups および id コマンドを使用してグループを列挙できます。特にMacでは、 dscl . list /groups および dscacheutil -q groupもまたユーザおよびグループの列挙に使用されます。

Linux

Linuxでは、ローカルユーザーは、誰でも読み取り可能な /etc/passwdファイルを使用して列挙できます。 Macでは、この同じファイルは、 /etc/master.passwd ファイルに加えて、シングルユーザーモードでのみ使用されます。

また、グループはgroupsおよびidコマンドで列挙できます。

Office 365 and Azure AD

認証されたアクセスには、アカウントの探索に使用できるツールがいくつかあります。 Get-MsolRoleMember PowerShellコマンドレットを使用して、ロールまたは権限グループが指定されたアカウント名を取得できます。[1][2]

Azure CLI(AZ CLI)も、ドメインへの認証されたアクセスを持つユーザーアカウントを取得するためのインターフェイスを提供します。コマンドaz ad user listは、ドメイン内のすべてのユーザーを列挙します。[3][4]

Get-GlobalAddressList PowerShellコマンドレットを使用して、認証済みセッションを使用してドメインから電子メールアドレスとアカウントを取得できます。[5][6]

ID: T1087
Tactic: Discovery
Platform: Linux, macOS, Windows, Office 365, Azure AD
Permissions Required: User
Data Sources: Azure activity logs, Office 365 account logs, API monitoring, Process monitoring, Process command-line parameters
CAPEC ID: CAPEC-575
Contributors: Microsoft Threat Intelligence Center (MSTIC); Travis Smith, Tripwire
Version: 2.0
Created: 31 May 2017
Last Modified: 08 October 2019

Procedure Examples

Name Description
admin@338

admin@338 は、LOWBALLマルウェアにマシンを感染させた後、次のコマンドを使用してユーザーアカウントを列挙しました。 net user >> %temp%\download net user /domain >> %temp%\download[40]

Agent Tesla

Agent Tesla は、被害者のマシンからアカウント情報を収集します。[28]

APT1

APT1 は、システムのアカウントを見つけるために、 net localgroup,net user, および net group コマンドを使いました。[46]

APT3

APT3 は、ローカルおよびグローバルグループユーザー、パワーユーザー、および管理者に関する情報を取得できるツールを使用しています。[21]

APT32

APT32 は、net localgroup administrators コマンドと net group "Domain Controllers" /domainコマンドを使用して管理ユーザーとDCサーバーを列挙しました。.[43]

Bankshot

Bankshot は、プロセス監視を通じてドメインとアカウントの名前/情報を収集します。[29]

BRONZE BUTLER

BRONZE BUTLER は、アカウント情報を識別するために net user /domain を使用します。[44]

Carbon

Carbon は、システムのアカウントを列挙するために net group コマンドを実行します。[18]

Comnie

Comnie は、 net user コマンドを使います。[32]

Dragonfly 2.0

Dragonfly 2.0 は、被害環境のユーザを列挙するためにバッチスクリプトを使いました。[47]

dsquery

dsquery を使用して、ドメイン内のユーザーアカウントに関する情報を収集できます。[12]

Duqu

Duqu で使用される探索モジュールは、アカウントと権限に関する情報を収集できます。[15]

Elise

Elise は、リモートサーバーへの最初の通信の後、net user を実行します。[35]

Empire

Empire は、ローカルおよびドメインのユーザーアカウント情報を取得できます。[13]

Epic

Epic は、すべてのユーザーアカウント、特権クラス、および最終ログオン時刻のリストを収集します。[26]

FIN6

FIN6 は、被害者のActive Directoryデータベースのコピーを取得するため Metasploitの PsExec NTDSGRAB モジュールを使用します。 [38]

GeminiDuke

GeminiDukeは、被害者からローカルユーザーアカウントに関する情報を収集します。[31]

InvisiMole

InvisiMoleには、被害者のマシンのアカウント情報をリストするコマンドがあります。[22]

Kazuar

Kazuar は、被害者のマシンのローカルグループとメンバーに関する情報を収集します。[19]

Ke3chang

Ke3chang は、特定の権限グループでnet localgroup administrators および net group "REDACTED" /domainのようなコマンドを使用して、アカウント探索を実行します。[41]

Kwampirs

Kwampirs は、net usersコマンドでアカウントのリストを収集します。.[24]

MailSniper

MailSniper は、 Get-GlobalAddressList コマンドレットを使用して、ExchangeおよびOffice 365からアカウント名を取得するために使用できます。[6]

menuPass

menuPass は、Microsoft管理ツールのcsvde.exeを使用してActive Directoryデータをエクスポートしました。[42]

Mis-Type

Mis-Type は、 cmd.exe /c net user {{Username}}コマンドの結果を含むファイルを作成する場合があります.[16]

MURKYTOP

MURKYTOP には、リモートホスト上のユーザーに関する情報を取得する機能があります。[20]

Net

net user のコマンドを Net ユーティリティで使用して、ユーザーアカウントに関する情報を収集して操作できます。[8]

OilRig

OilRigは、被害者のアカウントリストを得るために net user, net user /domain, net group "domain admins" /domain, および net group "Exchange Trusted Subsystem" /domain を実行します。[45]

OSInfo

OSInfo は、ローカルおよびドメインのユーザを列挙します。[21]

Poseidon Group

Poseidon Group は、ローカルの被害端末とネットワークの両方で管理者アカウントを検索します。[48]

PoshC2

PoshC2 は、ローカルおよびドメインのユーザーアカウント情報を列挙できます。[14]

PowerSploit

PowerSploitGet-ProcessTokenGroup Privesc-PowerUp モジュールは、現在のトークンに関連するすべてのSIDs(セキュリティ識別子)を列挙することができます。[9][10]

POWERSTATS

POWERSTATS は、感染したホストからユーザー名を取得できます。[25]

POWRUNER

POWRUNER は、被害者に対して net user /domain もしくは、他の一連のコマンドを実行することにより、ユーザーアカウント情報を収集する可能性があります。[17]

PUNCHBUGGY

PUNCHBUGGY は、ユーザ名を集めることができます。[37]

Pupy

Pupy はPowerViewとPywerviewを使用して、ネットユーザー、ネットグループ、ネットローカルグループなどの探索コマンドを実行します。[11]

RATANKBA

RATANKBA は、 net user コマンドを使用します。[27]

Remsec

Remsec は、ユーザリストを取得することができます。[36]

S-Type

S-Typeは、被害端末で net user コマンドを実行します。 S-Type は、またテストを実行して、感染ユーザーの権限レベルを判断します。[16]

SHOTPUT

SHOTPUT には、接続ユーザーに関する情報を取得するコマンドがあります。[23]

Sykipot

Sykipot は、 net group "domain admins" /domain を使用して"domain admins" 権限グループのアカウントを表示し、 net localgroup "administrators"を使用してローカルシステム管理者グループのメンバを一覧表示します。[30]

Threat Group-3390

Threat Group-3390は、システムの内部探索を実行するために net user を使いました。[39]

TrickBot

TrickBot は、システムのユーザ情報を収集します。[33][34]

Mitigations

Mitigation Description
Operating System Configuration
オペレーティングシステムの構成

アプリケーションがUACを介して昇格するときに、アカウント名の開示につながる可能性があるため、管理者アカウントが列挙されないようにします。レジストリキーは HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministratorsです。
GPO(グループポリシー)を使用して無効にできます。:
   コンピューターの構成 > [Policies] > 管理用テンプレート > Windows コンポーネント > 資格情報のユーザー インターフェイス: 「昇格時に管理者アカウントを列挙する」[7]

Detection

通常、システムおよびネットワークの探索テクニックは、攻撃者が環境を調査する際に発生します。データとイベントは単独で現れるのではなく、取得した情報に基づいて、横展開(侵入拡大)などの他のアクティビティにつながる可能性のある一連の動作の一部とみなします。

システムおよびネットワーク情報を収集するために実行できるアクションのプロセスとコマンドライン引数を監視します。組み込み機能を備えたリモートアクセスツールは、Windows APIと直接対話して情報を収集する場合があります。情報は Windows Management InstrumentationPowerShellなどのWindowsシステム管理ツールを通じても取得されることもあります。

References

  1. Microsoft. (n.d.). Get-MsolRoleMember. Retrieved October 6, 2019.
  2. Stringer, M.. (2018, November 21). RainDance. Retrieved October 6, 2019.
  3. Microsoft. (n.d.). az ad user. Retrieved October 6, 2019.
  4. Felch, M.. (2018, August 31). Red Teaming Microsoft Part 1 Active Directory Leaks via Azure. Retrieved October 6, 2019.
  5. Microsoft. (n.d.). Get-GlobalAddressList. Retrieved October 6, 2019.
  6. Bullock, B.. (2016, October 3). Attacking Exchange with MailSniper. Retrieved October 6, 2019.
  7. UCF. (n.d.). The system must require username and password to elevate a running application.. Retrieved December 18, 2017.
  8. Savill, J. (1999, March 4). Net.exe reference. Retrieved September 22, 2015.
  9. PowerShellMafia. (2012, May 26). PowerSploit - A PowerShell Post-Exploitation Framework. Retrieved February 6, 2018.
  10. PowerSploit. (n.d.). PowerSploit. Retrieved February 6, 2018.
  11. Nicolas Verdier. (n.d.). Retrieved January 29, 2018.
  12. Microsoft. (n.d.). Dsquery. Retrieved April 18, 2016.
  13. Schroeder, W., Warner, J., Nelson, M. (n.d.). Github PowerShellEmpire. Retrieved April 28, 2016.
  14. Nettitude. (2018, July 23). Python Server for PoshC2. Retrieved April 23, 2019.
  15. Symantec Security Response. (2011, November). W32.Duqu: The precursor to the next Stuxnet. Retrieved September 17, 2015.
  16. Gross, J. (2016, February 23). Operation Dust Storm. Retrieved September 19, 2017.
  17. Sardiwal, M, et al. (2017, December 7). New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit. Retrieved December 20, 2017.
  18. GovCERT. (2016, May 23). Technical Report about the Espionage Case at RUAG. Retrieved November 7, 2018.
  19. Levene, B, et al. (2017, May 03). Kazuar: Multiplatform Espionage Backdoor with API Access. Retrieved July 17, 2018.
  20. FireEye. (2018, March 16). Suspected Chinese Cyber Espionage Group (TEMP.Periscope) Targeting U.S. Engineering and Maritime Industries. Retrieved April 11, 2018.
  21. Symantec Security Response. (2016, September 6). Buckeye cyberespionage group shifts gaze from US to Hong Kong. Retrieved September 26, 2016.
  22. Hromcová, Z. (2018, June 07). InvisiMole: Surprisingly equipped spyware, undercover since 2013. Retrieved July 10, 2018.
  23. Falcone, R. and Wartell, R.. (2015, July 27). Observations on CVE-2015-3113, Prior Zero-Days and the Pirpi Payload. Retrieved January 22, 2016.
  24. Symantec Security Response Attack Investigation Team. (2018, April 23). New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia. Retrieved May 8, 2018.
  1. Singh, S. et al.. (2018, March 13). Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign. Retrieved April 11, 2018.
  2. Kaspersky Lab's Global Research & Analysis Team. (2014, August 06). The Epic Turla Operation: Solving some of the mysteries of Snake/Uroboros. Retrieved November 7, 2018.
  3. Trend Micro. (2017, February 27). RATANKBA: Delving into Large-scale Watering Holes against Enterprises. Retrieved May 22, 2018.
  4. The DigiTrust Group. (2017, January 12). The Rise of Agent Tesla. Retrieved November 5, 2018.
  5. Sherstobitoff, R. (2018, March 08). Hidden Cobra Targets Turkish Financial Sector With New Bankshot Implant. Retrieved May 18, 2018.
  6. Blasco, J. (2011, December 12). Another Sykipot sample likely targeting US federal agencies. Retrieved March 28, 2016.
  7. F-Secure Labs. (2015, September 17). The Dukes: 7 years of Russian cyberespionage. Retrieved December 10, 2015.
  8. Grunzweig, J. (2018, January 31). Comnie Continues to Target Organizations in East Asia. Retrieved June 7, 2018.
  9. Salinas, M., Holguin, J. (2017, June). Evolution of Trickbot. Retrieved July 31, 2018.
  10. Anthony, N., Pascual, C.. (2018, November 1). Trickbot Shows Off New Trick: Password Grabber Module. Retrieved November 16, 2018.
  11. Falcone, R., et al.. (2015, June 16). Operation Lotus Blossom. Retrieved February 15, 2016.
  12. Kaspersky Lab's Global Research & Analysis Team. (2016, August 9). The ProjectSauron APT. Technical Analysis. Retrieved August 17, 2016.
  13. Gorelik, M.. (2019, June 10). SECURITY ALERT: FIN8 IS BACK IN BUSINESS, TARGETING THE HOSPITALITY INDUSTRY. Retrieved June 13, 2019.
  14. FireEye Threat Intelligence. (2016, April). Follow the Money: Dissecting the Operations of the Cyber Crime Group FIN6. Retrieved June 1, 2016.
  15. Counter Threat Unit Research Team. (2017, June 27). BRONZE UNION Cyberespionage Persists Despite Disclosures. Retrieved July 13, 2017.
  16. FireEye Threat Intelligence. (2015, December 1). China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets. Retrieved December 4, 2015.
  17. Villeneuve, N., Bennett, J. T., Moran, N., Haq, T., Scott, M., & Geers, K. (2014). OPERATION “KE3CHANG”: Targeted Attacks Against Ministries of Foreign Affairs. Retrieved November 12, 2014.
  18. PwC and BAE Systems. (2017, April). Operation Cloud Hopper: Technical Annex. Retrieved April 13, 2017.
  19. Dahan, A. (2017). Operation Cobalt Kitty. Retrieved December 27, 2018.
  20. Counter Threat Unit Research Team. (2017, October 12). BRONZE BUTLER Targets Japanese Enterprises. Retrieved January 4, 2018.
  21. Falcone, R. and Lee, B.. (2016, May 26). The OilRig Campaign: Attacks on Saudi Arabian Organizations Deliver Helminth Backdoor. Retrieved May 3, 2017.
  22. Mandiant. (n.d.). APT1 Exposing One of China’s Cyber Espionage Units. Retrieved July 18, 2016.
  23. US-CERT. (2018, March 16). Alert (TA18-074A): Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors. Retrieved June 6, 2018.
  24. Kaspersky Lab's Global Research and Analysis Team. (2016, February 9). Poseidon Group: a Targeted Attack Boutique specializing in global cyber-espionage. Retrieved March 16, 2016.