Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1087 , T1087.001 , T1087.002 , T1087.003 , T1087.004
Злоумышленники могут попытаться получить список действующих учетных записей, имен пользователей или адресов электронной почты в системе или во взломанной среде. Эта информация может помочь злоумышленникам определить, какие учетные записи существуют, что может способствовать последующему поведению, такому как брутфорсинг, фишинговые атаки или захват учетных записей (например, Valid Accounts).
Злоумышленники могут использовать несколько методов для перечисления учетных записей, включая злоупотребление существующими инструментами, встроенными командами и возможными неправильными конфигурациями, которые передают имена учетных записей, роли или разрешения в целевой среде.
Например, облачные среды обычно предоставляют легкодоступные интерфейсы для получения списков пользователей.(Цитата: AWS List Users)(Цитата: Google Cloud - IAM Servie Accounts List API) На хостах злоумышленники могут использовать стандартный PowerShell и другие функции командной строки для идентификации учетных записей.Информация об адресах электронной почты и учетных записях также может быть извлечена путем поиска в файлах зараженной системы.
https://attack.mitre.org/techniques/T1087
Визуализация смежных техник для T1087
| № | Техника |
|---|
