Техники: T1036 , T1036.001 , T1036.002 , T1036.003 , T1036.004 , T1036.005 , T1036.006 , T1036.007 , T1036.008 , T1036.009 , T1036.010
Злоумышленники могут совпадать или приближаться к названиям легитимных учетных записей, чтобы вновь созданные учетные записи выглядели доброкачественными. Обычно это происходит во время Create Account, хотя учетные записи могут быть переименованы и позже. Это также может совпадать с Удалением доступа к учетной записи, если агент сначала удалит учетную запись, а затем создаст ее заново с тем же именем.(Цит. по: Huntress MOVEit 2023)
Часто злоумышленники пытаются маскироваться под служебные учетные записи, например, связанные с легитимным программным обеспечением, резервным копированием данных или управлением контейнерными кластерами.(Цитата: Elastic CUBA Ransomware 2022)(Цитата: Aquasec Kubernetes Attack 2023) Они также могут давать учетным записям общие, заслуживающие доверия имена, например, «admin», «help» или «root». «Иногда противники могут моделировать имена учетных записей на основе уже существующих в системе, что является продолжением поведения Account Discovery.
Обратите внимание, что это отличается от Impersonation, которая описывает выдачу себя за конкретных доверенных лиц или организаций, а не за имена учетных записей пользователей или служб.
https://attack.mitre.org/techniques/T1036/010
Визуализация смежных техник для T1036.010
| № | Техника |
|---|
