data leakage case #6, all accounts list

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

#6. List all accounts in OS except the system accounts: Administrator, Guest, systemprofile, LocalService, NetworkService. (Account name, login count, last logon date…)

---

#3 참고.

다음의 두 레지스트리에서 사용자 계정 정보를 확인할 수 있다.

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

1. HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 확인

---

all accounts : informat, temporary, ITech Team, admin11, Guest, Administrator

위의 계정들에 해당하는 login count, last logon date, created on time, total login count, invalid login count 등이 있다.

2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 확인

---

system, local, network 서비스들을 수행하기 위해서 필요한 계정과 사용자 계정의 SID 값을 확인할 수 있다.

S-1-5-18 : %systemroot%\System32\config\systemprofile

S-1-5-19 : %systemroot%\ServiceProfiles\LocalService

S-1-5-20 : %systemroot%\ServiceProfiles\NetworkService

S-1-5-{21-xxx}-1002 : C:\Users\informant

S-1-5-{21-xxx}-1001 : C:\Users\admin11

S-1-5-{21-xxx}-1003 : C:\Users\temporary

해당 계정의 폴더를 확인하면 다음과 같다.

사용자 생성 계정 : admin11, informant, temporary

기본 생성 계정

- All Users : 윈도우 XP 이후 사용하지 않지만, 호환성을 위해 남아있다.

- Default : 새로운 계정을 만들때, default 를 복사해서 만든다.

* default 계정에 악성코드를 심어두면, 계정을 만들때마다 감염된다.

- Default User : 윈도우 XP 이후 사용하지 않지만, 호화성을 위해 남아있다.

- Public : 모든 사용자가 공통으로 접근할 수 있다.

[참고] SID 란?

---

[출처] 알기사 2018 정보보안기사&산업기사 윈도우 서버 보안 편

SID(Security Identifier)란 윈도우에서 계정을 하나의 코드 값으로 표시한 것이다.

S-1-5-{Sub-authority value}-{relative ID(RID)}

1) S : SID 를 의미한다.

2) 1 : revision number(SID 명세버전)

3) 5 : Identifier authority value(48bit, 윈도우 보안 권한)

4) Sub-authority value

- 도메인 또는 로컬 컴퓨터 구분자이다.

- 시스템의 고유한 숫자로, 시스템을 설치할 때 시스템의 특성을 수집하여 생성된다.

5) relative ID(RID)

- 기본적으로 생성되는 builtin 계정이 아니라면, 1000보다 큰 숫자의 RID 가 생성된다.

- 관리자(Administrator)는 500번, Guest 계정은 501번, 일반 사용자는 1000번 이상의 숫자를 갖는다.

SID	설명
S-1-0-0	SID 를 모를 때 사용하는 SID
S-1-0-1	Everyone
S-1-5-7	Anonymous
S-1-5-18	System Profiles(시스템의 서비스용 계정이다)
S-1-5-19	Local Service
S-1-5-20	Network Service
S-1-5-domain-500	Administrator
S-1-5-domain-501	Guest