Техники: T1098 , T1098.001 , T1098.002 , T1098.003 , T1098.004 , T1098.005 , T1098.006 , T1098.007
Злоумышленники могут добавить дополнительные локальные или доменные группы к контролируемой им учетной записи, чтобы сохранить постоянный доступ к системе или домену.
В Windows учетные записи могут использовать команды `net localgroup` и `net group` для добавления существующих пользователей в локальные и доменные группы.(Цитата: Microsoft Net Localgroup)(Цитата: Microsoft Net Group) В Linux злоумышленники могут использовать команду `usermod` для той же цели.(Цитата: Linux Usermod)
Например, учетные записи могут быть добавлены в группу локальных администраторов на устройствах Windows для сохранения повышенных привилегий. Они также могут быть добавлены в группу пользователей удаленных рабочих столов, что позволит им использовать Remote Desktop Protocol для входа в конечные точки в будущем.(Цитата: Microsoft RDP Logons) В Linux учетные записи могут быть добавлены в группу sudoers, что позволит им постоянно использовать Sudo и Sudo Caching для получения повышенных привилегий.
В средах Windows учетные записи машин также могут быть добавлены в доменные группы. Это позволяет локальной учетной записи SYSTEM получить привилегии в домене.(Цит. по: RootDSE AD Detection 2022)
https://attack.mitre.org/techniques/T1098/007
Визуализация смежных техник для T1098.007
| № | Техника |
|---|
