ТЕХНІЧНИЙ ОПИС

Зловмисники можуть створити обліковий запис для підтримання доступу до систем жертви. За наявності достатнього рівня доступу створення таких акаунтів може бути використано для встановлення вторинного доступу за обліковими даними, який не потребує розгортання в системі постійних інструментів віддаленого доступу.

Облікові записи можуть бути створені в локальній системі, у домені або в хмарному тенанті. У хмарних середовищах зловмисники можуть створювати акаунти, які мають доступ лише до певних сервісів, що може знизити ймовірність виявлення.

Приклади виконання команди: Windows (Локально):

  • net user /add [username] [password]
  • net localgroup administrators [username] /add (для підвищення прав).

Linux (Локально):

  • useradd -m [username]
  • echo [username]:[password] | chpasswd

Active Directory:

  • Використання PowerShell модуля ActiveDirectory або утиліти net user /domain.

Cloud (CLI):

  • aws iam create-user —user-name [username]

Чому це небезпечно?

  • Легітимність: Вхід за паролем нового користувача виглядає для системи як звичайна подія входу (Event ID 4624), а не як атака.
  • Стійкість: Навіть якщо антивірус видалить бекдор, зловмисник зможе просто зайти в систему через RDP або SSH, використовуючи створений акаунт.
  • Прихованість: У великих організаціях з сотнями користувачів поява одного нового облікового запису може пройти непоміченою протягом місяців.

Як виявити?

  • Моніторинг подій створення облікових записів (Windows Event ID 4720).
  • Аудит груп з високими привілеями (Domain Admins, Administrators).
  • Перевірка хмарних логів (CloudTrail в AWS, Activity Logs в Azure) на предмет активності CreateUser.