【Tips+1】Windows持久化之隐藏账户

实现原理

在Windows操作系统中，创建一个以 "$" 结尾的用户名会将用户帐户标记为隐藏帐户。这是一个简便的方法，用于隐藏用户帐户，并且不需要更改注册表项或使用其他高级设置。这一原理基于以下几个要点：

1. 约定的命名规则：在Windows系统中，带有 "$" 结尾的用户名是一种约定，表示这是一个隐藏帐户。Windows会自动隐藏以 "$" 结尾的用户名，这意味着它不会在登录屏幕或用户列表中显示。
2. 隐藏机制：当以 "$" 结尾的用户名被创建时，Windows会将其标记为隐藏，不会在登录界面或用户管理中显示。这个隐藏机制内置在操作系统中。
3. 用途：隐藏帐户通常用于系统管理、服务帐户或其他需要隐藏并且不经常用于交互式登录的帐户。这些帐户通常不是用户的主要登录帐户，而是用于服务、任务计划等系统级操作的帐户。

请注意，尽管以 "$" 结尾的用户名会隐藏帐户，但它并不提供额外的安全性，因为仍然可以通过其他方法访问和操作这些帐户。隐藏帐户仅对用户的可见性起作用。

实现步骤

在目标主机cmd中输入以下命令，创建一个名为test$的隐藏账户，并把该隐藏账户设置为管理员权限

net user test$ 123456 /add
net localgroup administrators test$ /add

添加后，该账户可在一定条件下隐藏，如输入net user 无法获取信息。

但是，通过wmic 命令或者在登录界面、本地和组、注册表等就能够发现该账户。

对于此类后门还是比较容易发现的，因此在如今对抗激烈的环境下，几乎是不存在了。

wmic useraccount get name,sid

输入lusrmgr.msc命令，查看是否有新增/可疑的账号

通过注册表也可查看到隐藏账户

如何排查

六个方法如下：

1、切换到登录界面

2、账户管理界面

3、使用WMIC命令，输入 wmic useraccount get name,sid

4、打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号

5、使用regedit打开注册表编辑器找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users]

6、reg query HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames

7、使用D盾_web查杀工具，集成了对克隆账号检测的功能

日志排查

在Windows安全事件日志中，帐户创建事件通常由以下两个事件ID表示：

1. 事件ID 4720：这个事件ID表示用户帐户已成功创建。当新用户帐户在系统上创建时，通常会生成此事件。该事件提供了有关用户帐户的信息，包括用户名、帐户的SID（Security Identifier）、创建时间和日期，以及执行创建操作的主体信息。
2. 事件ID 4722：这个事件ID表示用户帐户的密码已重置。虽然不是严格意义上的帐户创建事件，但当管理员或用户重置现有用户帐户的密码时，通常会生成此事件。这个事件提供了帐户的信息和密码更改的相关信息。

在Windows中，查看登录事件（登录成功或失败）的事件ID通常位于“安全”事件日志中。以下是查看登录事件ID的步骤：

在Windows中，查看登录事件（登录成功或失败）的事件ID通常位于“安全”事件日志中。以下是查看登录事件ID的步骤：

1. 打开事件查看器：

• 在Windows中，按下"Win + X"键，然后选择"事件查看器"，或者在运行对话框中输入"eventvwr.msc"并按Enter。
• 还可以使用命令行，输入eventvwr并按Enter来打开事件查看器。

2. 在事件查看器中，导航到 "Windows 日志"，然后展开 "安全" 日志，因为登录事件通常记录在安全日志中。
3. 在 "安全" 日志中，您可以使用筛选功能来查找特定的登录事件。以下是一些筛选的示例：

• 使用事件ID筛选：成功登录事件通常使用事件ID 4624 表示，而登录失败事件通常使用事件ID 4625 表示。
• 使用关键字筛选：使用关键字筛选以查找成功或失败的登录事件。关键字通常包括 "成功登录" 或 "登录失败"。
• 使用日期和时间筛选：指定一个日期和时间范围，以缩小搜索范围。

4. 点击 "查找" 或 "确定" 按钮来查找相关的登录事件。事件查看器将显示匹配筛选条件的事件。
5. 单击事件以查看详细信息，包括登录的用户名、计算机名称、登录类型、时间戳和其他相关信息。

通过检查事件查看器中的安全日志，您可以查找成功和失败的登录事件，以了解哪些用户在系统上登录或尝试登录，以及登录的结果。这些登录事件通常记录了有关登录的详细信息，包括用户帐户、登录时间、来源 IP 地址（如果适用）、计算机名称等。

请注意，为了查看安全事件日志，您通常需要具有管理员权限，因为这些日志包含敏感信息，只有管理员才能访问。登录事件的审计和监控对于维护系统的安全性非常重要。

原文始发于微信公众号（贝雷帽SEC）：【Tips+1】Windows持久化之隐藏账户