1.簡単な隠しアカウントの作成
ユーザーアカウントを作成する際、ユーザー名の後に$記号を追加すると、"test$"のような単純な隠しアカウントを作成することができます。
キャラクタインターフェイスでnet userコマンドを実行すると、このアカウントは表示されませんが、グラフィカルインターフェイスの「ローカルユーザーとグループ」には表示されます。
ホストをハッキングした後、一般的に自分自身のためにバックドアを残す方法を見つけたがり、自分自身のために管理者グループアカウントを追加することは一般的な戦術です。を持つアカウントは発見されやすいので、管理者を混乱させるためにアカウントの表示名を工夫し、admin、sysadmin、Billgates、rootなどのシステムアカウントに似た名前を作る人もいます。もう一つの方法は、ゲストアカウントをAdministratorsグループに追加するなど、一般ユーザーグループのユーザーアカウントをAdministratorsグループに昇格させることです。そのため、管理者グループに見知らぬアカウントがあったり、一般ユーザーグループに$が付いたアカウントがあったりした場合は、コンピュータが危険にさらされている可能性があることに気づく必要があります。
2.セキュリティ識別子 SID
Windowsでは、システムは各ユーザーアカウントに一意のセキュリティ識別子を作成し、Windowsの内部コアでは、各ユーザーを表す、または識別するために、ユーザーのアカウント名ではなく、SIDを使用することがすべてです。
SIDは、ユーザーアカウントが作成された時刻やユーザー名などの情報を組み合わせて作成されるため、一意であり、再利用されることはありません。ユーザーアカウントが削除され、同じ名前のアカウントが追加されたとしても、両者のSIDは同じではなく、新しく作成されたアカウントは元のアカウントの権限を持ちません。
例えば、パスワード123のbobという新しいユーザーを作成し、bobとしてログインして、テキストファイルtest.txtを作成し、EFSで暗号化します。システムユーザーをadministratorに切り替え、bobユーザーを削除し、同じパスワード123で新しいbobユーザーを作成します。新しいbobユーザーでログインしても、ユーザーのSIDが変更されているため、暗号化されたファイルtest.txtは開けません。
whoami /all "コマンドを実行することで、システムの現在のユーザーのSIDを確認することができます:
完全なSIDはいくつかの異なる部分の情報で構成され、最後の部分は相対識別子RIDと呼ばれます。 RID 500のSIDはシステム内蔵の管理者アカウントで、名前が変更されてもRIDは500のまま変更されず、多くのハッカーはこのRIDを使って本当のシステム内蔵の管理者アカウントを探します。RID 501 SIDはゲストアカウントで、新しく作成されたユーザーアカウントのRIDは1000から始まり、例えばRID 1015 SIDはシステムで作成された15番目のユーザーアカウントです。
3.完全に隠されたアカウントを作成
ここでは、レジストリを変更することでユーザーSIDを偽造し、完全に隠されたユーザーアカウントを作成する方法を紹介します。
まず、単純な隠しアカウント "super$"を作成し、レジストリ[HKEY_LOCAL_MACHINESAM]を展開します。この項目のコンテキストメニューで、管理者ユーザーにフルコントロールを与えます。
F5キーを押して更新すると、さらに2つのサブ項目が表示されます。
SAMDomains]項目で、システムに存在する全てのアカウントを表示し、super$を選択し、その右側に "Default "というキー値があり、タイプは "0x3eb右側に "Default "というキーがあり、タイプは "0x3eb "です。3eb」はsuper$ユーザーのSIDの末尾、つまりRIDです。
SAMDomainsでは、"3EB "で終わるサブセクションがあり、どちらもユーザーsuper$に関する情報を保持しています。
これらの2つの項目を右クリックし、「エクスポート」コマンドを実行して、これらの2つの項目の値を拡張子.regのレジストリファイルにエクスポートします。
その後、super$ユーザーを削除し、再度レジストリを更新すると、上記のエントリは両方とも消えています。
以下は、2つのレジストリファイルの再インポートをエクスポートするだけで、レジストリのこの時間は、super$アカウント情報を持っていますが、コマンドラインまたはグラフィカルなインターフェイスでは関係なく、このアカウントを見ることができない、アカウントは完全に隠されています。
この隠しアカウントを使用することで、システムにログインすることができますが、ユーザープロファイルが生成されるという欠点があります。
上記のレジストリエントリを展開し、administratorのRID値 "1f4 "を見つけ、対応する "000001F4 "エントリを展開し、その右側にユーザーのSIDを格納するfという名前のキーがあります。このキーのデータを全てコピーし、"000003EB "のfキーに貼り付けます。つまり、administratorのSIDをsuper$にコピーし、OS上ではsuper$がadministrator、super$がuserとして扱われるようにします。そうすると、オペレーティングシステム上では、super$は管理者として、super$はユーザーとして扱われます。管理者であるsuper$は管理者のシャドウアカウントとなり、管理者と同じユーザープロファイルを使用し、super$は完全に隠されます。
隠しアカウントの作成は、ハッカーがバックドアを残すためのお気に入りの方法であり、上記のような隠しアカウントはレジストリを通じてのみ発見できるほどステルス性の高いものです。
この記事は「ワインの壺」ブログに掲載されたものです!
