Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1564.002 - Скрытые пользователи

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1564 , T1564.001 , T1564.002 , T1564.003 , T1564.004 , T1564.005 , T1564.006 , T1564.007 , T1564.008 , T1564.009 , T1564.010 , T1564.011 , T1564.012

Злоумышленники могут использовать скрытых пользователей, чтобы скрыть присутствие учетных записей пользователей, которые они создают или изменяют. Администраторы могут захотеть скрыть пользователей, если в системе много учетных записей пользователей или если они хотят скрыть свои административные или другие управленческие учетные записи от других пользователей.

В macOS злоумышленники могут создать или изменить скрытого пользователя, манипулируя plist-файлами, атрибутами папок и атрибутами пользователя. Чтобы предотвратить отображение пользователя на экране входа в систему и в System Preferences, злоумышленники могут установить идентификатор пользователя меньше 500 и установить значение ключа Hide500Users в TRUE в plist-файле /Library/Preferences/com.apple.loginwindow.(Цитата: Cybereason OSX Pirrit) Каждый пользователь имеет идентификатор пользователя, связанный с ним. Когда значение ключа Hide500Users установлено в TRUE, пользователи с идентификатором менее 500 не отображаются на экране входа в систему и в System Preferences. С помощью командной строки злоумышленники могут использовать утилиту dscl для создания скрытых учетных записей пользователей, установив атрибут IsHidden в значение 1.Злоумышленники также могут скрыть домашнюю папку пользователя, изменив chflags на hidden.(Цитата: Apple Support Hide a User Account)

Злоумышленники могут аналогичным образом скрывать учетные записи пользователей в Windows. Злоумышленники могут установить значение ключа реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList в 0 для определенного пользователя, чтобы предотвратить его появление в списке на экране входа в систему.(Цитата: FireEye SMOKEDHAM June 2021)(Цитата: US-CERT TA18-074A)

В системах Linux злоумышленники могут скрывать учетные записи пользователей на экране входа в систему, также называемом greeter. Метод, который может использовать злоумышленник, зависит от того, какой диспетчер отображения используется в дистрибутиве. Например, в системе Ubuntu, использующей GNOME Display Manger (GDM), учетные записи могут быть скрыты с экрана приветствия с помощью команды gsettings (например, sudo -u gdm gsettings set org.gnome.login-screen disable-user-list true).(Цитата: Скрыть учетные записи пользователей GDM) Менеджеры отображения не привязаны к конкретным дистрибутивам и могут быть изменены пользователем или злоумышленником.

https://attack.mitre.org/techniques/T1564/002

← Назад

Визуализация смежных техник для T1564.002

Отрасль:
 с подтехниками
Техника

Закрыть