ECSC课堂 | 如何快速排查克隆账号？干货奉上！

克隆帐号是在Windows中通过对注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\下的子键进行修改，来创建具有管理员权限的账号。因为此类型的账号具有隐蔽性，所以常常被攻击者作为后门使用。

当服务器被入侵之后，被攻击者创建了克隆账号时，需要快速进行应急响应，其中最主要的步骤是找到隐藏的克隆账号。

下面将介绍一些快速排查克隆账号的方法。

1、克隆账号的隐蔽性

在攻击者入侵服务器之后，创建了克隆账号“test$”作为后门保留在计算机中，以维持对服务器的控制。

使用两种常用的方法进行排查：1、通过DOS命令:“net user”查看；2、通过“计算机管理”查看。

通过以上两种方法均未能发现克隆账号“test$”。

2、克隆帐号排查方法

1、通过Windows安全日志进行排查

在系统上进行用户创建时，Windwos日志文件通常会记录下我们操作的相关内容，可以根据这些日志信息排查用户帐号管理相关的详细信息。与用户帐号管理相关的Windwos日志事件ID如下：

当攻击者创建克隆帐号时，Windows的安全日志会产生“创建用户”事件日志，既通过排查事件ID“4720”找到克隆帐号。

（1）通过Win+R打开运行窗口，输入eventvwr.msc打开Windows事件查看器。

（2）通过筛选当前日志功能搜索事件ID“4720”，查看创建用户情况。

（3）审核所有的“创建用户”事件，发现在10:05期间创建了账号“test$”。

2、通过查看注册表文件进行排查

注册表是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。用户的账号信息在注册表中均能查看，其中包含克隆账号的信息。

（1）查看注册表“HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”的文件信息，发现存在“test$”账号。

（2）对“test$”账号的子键F值与“administrator”账号的F值进行对比发现相同两个相同，因此判断“test$”账号是“administrator”的克隆账号，具有“administrator”的权限。

3、通过安全防护工具进行排查

使用具有克隆账号检测功能的安全防护工具进行排查。

除上述Windows克隆帐号的排查方法外，如需了解更加全面的帐号后门的查杀方法以及更多的网络安全技术，持续关注安胜哦！