Account Access Removal
アカウントアクセスの削除

攻撃者は、正当なユーザーが使用するアカウントへのアクセスを禁止することにより、システムおよびネットワークリソースの可用性を妨害する可能性があります。アカウントへのアクセスを削除するために、アカウントは削除、ロック、または操作される可能性があります(例:資格情報の変更)。

攻撃者はその後、コンピュータをログオフし、悪意のある変更を設定するために、再起動することもあります。[1][2]

ID: T1531
Tactic: Impact
Platform: Linux, macOS, Windows
Permissions Required: User, Administrator, root, SYSTEM
Data Sources: Windows event logs, Process command-line parameters, Process monitoring
Impact Type: Availability
Version: 1.0
Created: 09 October 2019
Last Modified: 14 October 2019

Procedure Examples

Name Description
LockerGoga

LockerGoga は、アカウントパスワードの変更と現在のユーザーをログオフさせることを確認しています。[1][2]

Mitigations

このタイプの攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。

Detection

プロセスの監視を使用して、Netの使用のような、アカウントの削除またはパスワードの変更に関連するプログラムの実行およびコマンドラインパラメーターを監視します。 Windowsイベントログは、アカウントへのアクセスを削除しようとする攻撃者の試みに関連するアクティビティを示す場合もあります。

  • Event ID 4723 - アカウントのパスワード変更が試みられました
  • Event ID 4724 - アカウントのパスワードリセットが試みられました
  • Event ID 4726 - ユーザアカウントは削除されました
  • Event ID 4740 - ユーザーアカウントがロックアウトされました

NetおよびこれらのイベントIDのアラートは、大量の誤検知を生成する可能性があるため、システムの通常使用に関するベースラインのナレッジと比較し、可能な場合は変更イベントを悪意のあるアクティビティの他の兆候と関連付けます。

References