红队技巧之Windows中的不可见用户

admin 2022年6月27日09:47:43安全文章评论5 views574字阅读1分54秒阅读模式

提个问题,如何在Windows中创建隐藏的用户?


以下文章内容非常简单,就不亲自动手截图了,应急响应的时候可以适当的排查下。其实还有一些方法,但是由于笔者还未亲身体验过,所以不敢写在文章里。


入侵系统后,攻击者会最大限度的隐藏自己,希望在入侵系统上添加或创建用户以用作持久通道。非常常见的是通过net命令添加用户,例如:net user /add randomuser randompassword,运行上面的命令将添加用户,但也可通过net user命令列出该用户。

红队技巧之Windows中的不可见用户


有一个窍门,是否可以通过net命令隐藏我们的后门用户。答案是肯定的,大多数恶意软件都在积极地使用它。如果在这样的帐户创建过程中附加$符号,例如:net user /add evilbob$ evilpassword,之后通过net user命令查看Evilbob用户是不可见的。

红队技巧之Windows中的不可见用户


但是这个用户确实是存在的

红队技巧之Windows中的不可见用户


不过可以通过Windows安全日志事件ID为4720的日志来检测这种情况,注意:此技术仅会抑制来自net user命令的输出结果,但在Windows系统的控制面板中的输出是显而易见的。

红队技巧之Windows中的不可见用户


参考链接

https://chaah.awankloud.my/redteaming-tips-creating-a-hidden-user/

原文始发于微信公众号(OnionSec):红队技巧之Windows中的不可见用户

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日09:47:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  红队技巧之Windows中的不可见用户 http://cn-sec.com/archives/700222.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: