useradd 또는 adduser 명령어를 이용하여 계정 추가 시 탐지합니다.

쿼리

useradd 또는 adduser 명령어를 이용한 사용자 계정 생성을 탐지합니다. 정규표현식으로 -g 옵션에 지정된 그룹명(target_group)(optional)과 생성되는 사용자명(target_user)을 추출하고 사용자명이 추출된 경우만 탐지합니다.

| search match(cmd_line, "\\b(useradd|adduser)\\s")
| rex field=cmd_line "\b(useradd|adduser)\s+(.*?-g\s+(?<target_group>[a-zA-Z0-9_-]+)\s+)?.*?(?<target_user>[a-zA-Z0-9_-]+)$"
| search isnotnull(target_user)

메시지

• 시스템 계정 추가: $host_ip ($hostname)

출력 필드 순서

• _log_time, client_ip, host_ip, hostname, target_user, target_group,src_user, src_ip, src_host, src_path, dst_user, dst_ip, dst_host, dst_path, log_type, cmd_line, cmd_line_raw, working_dir

위협 분석

• 공격자가 지속성 확보(Persistence)를 위해 백도어 계정을 생성하는 행위일 수 있습니다.
• 특히 권한 있는 그룹(root, sudo, wheel, admin 등)에 사용자를 추가하여 권한 상승을 시도할 수 있습니다.

오탐 유형

• 시스템 관리자의 정상적인 계정 생성 작업에서 탐지될 수 있습니다. 이 경우에는 예외 조건을 추가하여 오탐을 방지합니다.
  • 예시: 신규 입사자 계정 생성, 서비스 계정 추가, 자동화된 프로비저닝 스크립트

대응 방안

• 생성된 사용자(target_user)와 지정된 그룹(target_group)의 정당성을 확인합니다.
• 특히 권한 있는 그룹(root, sudo, wheel 등)에 추가된 경우 즉시 검토합니다.
• 계정 생성 주체 및 승인된 변경 요청 여부를 확인합니다.
• 비인가 계정 생성 확인 시 해당 계정을 즉시 비활성화하고 관련 활동 로그를 조사합니다.

MITRE ATT&CK

• 전술
  • Create Account
• 기법
  • 이름: Create Account
  • ID: T1136
  • 참조 URL: https://attack.mitre.org/techniques/T1136/