T1136

ایجاد حساب کاربری

Create Account

توضیحات

مهاجمان حساب‌های کاربری جدید ایجاد می‌کنند تا دسترسی مداوم به سیستم‌های قربانی داشته باشند. این حساب‌ها می‌توانند محلی، دامنه‌ای یا ابری باشند. ایجاد حساب‌های جدید به مهاجمان اجازه می‌دهد بدون نیاز به ابزارهای دسترسی از راه دور مداوم، به سیستم‌ها دسترسی داشته باشند.

زیرتکنیک‌ها (3)

شناسهنام

T1136.001

حساب محلیLocal Account

مهاجمان حساب‌های کاربری محلی جدید در سیستم‌های هدف ایجاد می‌کنند تا دسترسی مداوم داشته باشند. این حساب‌ها می‌توانند به گروه مدیران اضافه شوند تا سطح دسترسی بالاتری داشته باشند. ابزارهایی مانند net user و PowerShell برای این منظور استفاده می‌شوند.

T1136.002

حساب دامنهDomain Account

مهاجمان حساب‌های دامنه جدید در Active Directory ایجاد می‌کنند تا دسترسی مداوم در سراسر شبکه داشته باشند. حساب‌های دامنه می‌توانند به گروه‌های دامنه اضافه شوند و دسترسی به منابع مشترک شبکه را فراهم کنند.

T1136.003

حساب ابریCloud Account

مهاجمان حساب‌های ابری جدید در محیط‌های cloud ایجاد می‌کنند تا دسترسی مداوم داشته باشند. این حساب‌ها می‌توانند در AWS، Azure، GCP یا سایر سرویس‌های ابری ایجاد شوند. حساب‌های ابری می‌توانند محدود به سرویس‌های خاص باشند تا شناسایی را دشوارتر کنند.

روش‌های شناسایی

نظارت بر ایجاد حساب‌های کاربری جدید. بررسی لاگ‌های احراز هویت. شناسایی حساب‌های با نام‌های مشکوک. تحلیل زمان ایجاد و فعالیت حساب‌ها.

روش‌های مقابله

نظارت بر ایجاد حساب‌های جدید. پیاده‌سازی فرآیند تأیید برای حساب‌های جدید. استفاده از MFA. بررسی منظم حساب‌های کاربری. پیاده‌سازی حداقل سطح دسترسی.