ТЕХНІЧНИЙ ОПИС

Зловмисники можуть маніпулювати обліковими записами, щоб підтримувати та/або підвищувати рівень доступу до систем жертви. Маніпуляція обліковими записами може складатися з будь-якої дії, яка зберігає або змінює доступ зловмисника до скомпрометованого акаунта, наприклад, зміна облікових даних або груп дозволів.

Ці дії також можуть включати активність облікових записів, розроблену для підриву політик безпеки, наприклад, виконання ітераційних оновлень пароля для обходу політик тривалості дії пароля та збереження «життя» скомпрометованих облікових даних.

Щоб створити або маніпулювати обліковими записами, зловмисник уже повинен мати достатні дозволи в системах або домені. Однак маніпуляція обліковими записами також може призвести до підвищення привілеїв (Privilege Escalation), коли модифікації надають доступ до додаткових ролей, дозволів або валідних облікових записів із вищими привілеями.

Ключові методи маніпуляції:

  • Зміна членства в групах: Додавання себе в Administrators, Remote Desktop Users або Sudoers.
  • Модифікація ключів доступу: Додавання власного публічного ключа в файл ~/.ssh/authorized_keys на сервері Linux для входу без пароля.
  • Маніпуляція MFA: Реєстрація власного телефону в системі багатофакторної автентифікації жертви.
  • Обхід політик: Постійна зміна пароля (наприклад, 10 разів поспіль), щоб система дозволила знову встановити той самий старий пароль, який вже відомий зловмиснику.

Чому це небезпечно?

  • Це створює «запасні виходи». Навіть якщо адміністратори виявлять шкідливе ПЗ, вони можуть не помітити, що звичайний користувач «Іванов» тепер має права адміністратора або що до його пошти підключено прихованого делегата.