Windows

網路攻擊後,彈出了一個新的管理員帳戶,是什麼,如何以及為了什麼?

  • June 14, 2020

在看似人為的勒索軟體攻擊之後,我正在分析系統。這是一個 Windows Server 2016,我創建了通常的管理員帳戶。現在我看到在攻擊過程中,C:\Users 文件夾下出現了一個新的“Administrador.WIN-RSDLE3HIAER”帳戶。舊的普通管理員仍然存在,但似乎所有文件現在都在新創建的帳戶下(下載、收藏夾、桌面等……仍在原始帳戶中,但為空)。就像個人資料已移至新帳戶一樣。

我的問題是,在尋找學習的過程中,為什麼要這樣做,為什麼要創建一個新帳戶?這是對攻擊者的某種自我保護嗎?為什麼我所有的原創內容現在都在新創建的帳戶下?我仍然可以在登錄頁面下輸入“管理員”並訪問我的個人資料,所以這就是為什麼我無法理解新帳戶/文件夾的性質,我是如何被重定向的……總之……這東西是如何工作的?

乾杯

可能的解釋:沒有新帳戶,也不是攻擊者故意創建的新文件夾。管理員帳戶的使用者配置文件在攻擊過程中被破壞,或者被一些防禦或恢復措施破壞。這隨後觸發了 Windows 的配置文件修復機制。

當 Windows 在登錄時載入使用者的配置文件時遇到不可恢復的錯誤,它會自動創建一個新的配置文件文件夾,並在名稱後附加一個隨機後綴。它還嘗試從舊的、損壞的配置文件中轉移盡可能多的數據。因此,該文件夾C:\Users\Administrador.WIN-RSDLE3HIAER將只是現有管理員帳戶的新配置文件文件夾Administrador

要確認這一點,請檢查文件夾C:\Users\Administrador和的所有者和權限C:\Users\Administrador.WIN-RSDLE3HIAER,並將它們與 Windows 安全帳戶管理器 (SAM) 數據庫中的本地使用者相匹配。如果您是從實時 Linux 系統執行此操作,請使用chntpw訪問 SAM 數據庫文件之類的工具%SystemRoot%\System32\config\SAM

引用自:https://serverfault.com/questions/1020931