تحلیل هشدار - ESCU - Short Lived Windows Accounts

چرا این هشدار صادر می‌شود؟

این هشدار زمانی فعال می‌شود که یک حساب کاربری در ویندوز ایجاد شود (Event Code 4720) و در فاصله زمانی بسیار کوتاهی (کمتر از ۴ ساعت، معمولاً چند دقیقه) حذف گردد (Event Code 4726). مهاجمان اغلب از حساب‌های موقت برای انجام فعالیت‌های مخرب، ایجاد پایداری (Persistence) یا ارتقای دسترسی استفاده می‌کنند و بلافاصله پس از اتمام کار، حساب را حذف می‌کنند تا ردپای خود را پاک کرده و از شناسایی توسط ادمین‌ها یا ابزارهای مانیتورینگ فرار کنند.

Detection: Short Lived Windows Accounts
Technique: T1136.001 (Create Account: Local Account) / T1070 (Indicator Removal)

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

ایجاد و حذف حساب کاربری در بازه زمانی بسیار کوتاه (کمتر از ۱۰ دقیقه) روی دامین کنترلر یا سرورهای حیاتی.
ایجاد حساب با نام‌های مشکوک یا مشابه حساب‌های سیستمی (مانند Admin$, kadmin) و حذف سریع آن.
انجام فعالیت‌های حساس (مانند دسترسی به فایل‌های محرمانه یا تغییر تنظیمات امنیتی) در بازه زمانی بین ایجاد و حذف حساب.

سناریوهای متوسط

ایجاد حساب موقت توسط کاربری که ادمین دامین نیست ولی دسترسی ایجاد کاربر روی سیستم‌های محلی را دارد.
تکرار الگوی ایجاد و حذف حساب روی چندین سیستم مختلف در شبکه (نشان‌دهنده حرکت جانبی یا تست نفوذ).

سناریوهای کم‌خطر (مثبت کاذب)

اسکریپت‌های خودکار مدیریت سیستم یا تست که حساب‌های موقت برای انجام وظایف خاص ایجاد و سپس پاک می‌کنند.
اشتباهات کاربری ادمین‌ها (مانند ایجاد حساب با نام اشتباه و حذف فوری آن).

ارزیابی خطر و اولویت‌بندی

برای تحلیل و اعتبارسنجی این هشدار، موارد زیر را بررسی کنید:

نشانه قطعی خطر: ایجاد حساب موقت با دسترسی ادمین (افزودن به گروه Administrators) و انجام فعالیت‌های RDP یا اجرای دستورات PowerShell قبل از حذف حساب.

هویت ایجاد کننده (src_user): چه کسی حساب را ایجاد کرده است؟ آیا این رفتار برای آن کاربر معمول است؟
فعالیت حساب (User Activity): حساب ایجاد شده (user) در فاصله بین ایجاد و حذف چه کارهایی انجام داده است؟ (بررسی لاگ‌های 4624، 4688 و غیره).
مدت زمان عمر حساب: فاصله زمانی بین 4720 و 4726 چقدر بوده است؟ هرچه کوتاه‌تر، مشکوک‌تر.

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Windows Security Events (4720, 4726)
Account Management Logs

دیتامدل‌های مورد استفاده

Change

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در اسپلانک، این فیلدها حیاتی هستند:

All_Changes.user (حساب ایجاد شده)

All_Changes.Account_Management.src_user (ایجاد کننده)

All_Changes.dest (سیستم هدف)

All_Changes.result_id (کد رویداد)

duration (عمر حساب)