{"id":252968,"date":"2021-05-11T00:12:00","date_gmt":"2021-05-10T22:12:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252968"},"modified":"2022-08-17T11:04:16","modified_gmt":"2022-08-17T09:04:16","slug":"windows-versteckte-benutzerkonten-anlegen-und-aufspren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/05\/11\/windows-versteckte-benutzerkonten-anlegen-und-aufspren\/","title":{"rendered":"Windows: Versteckte Benutzerkonten anlegen und aufspüren"},"content":{"rendered":"

\"Windows\"[English<\/a>]Heute noch ein kleiner Sicherheitsbeitrag zu einem Thema, auf das ich k\u00fcrzlich per Zufall gesto\u00dfen bin. Es geht um die M\u00f6glichkeit, unter Windows per net user<\/em>-Befehl versteckte, aber aktive Benutzerkonten anzulegen. Diese M\u00f6glichkeit wird zunehmend durch Malware ausgenutzt, um eine m\u00f6gliche Backdoor im System einzurichten.<\/p>\n

<\/p>\n

\"\"Ich bin die Tage auf Twitter \u00fcber den nachfolgenden Tweet<\/a> auf das Thema, welches in diesem Beitrag<\/a> ausf\u00fchrlicher behandelt wird, aufmerksam geworden.<\/p>\n

<\/p>\n

In einer administrativen Eingabeaufforderung ist es mittels des net user<\/em>-Befehls m\u00f6glich, die angelegten Benutzer einer Windows-Maschine auflisten zu lassen. Das wird in nachfolgendem Screenshot demonstriert. Der Befehl listet scheinbar alles auf, selbst die deaktivierten Konten (hier WDAGUtilityAccount<\/em>), die in der Benutzerkontenverwaltung der Systemsteuerung nicht auftauchen.<\/p>\n

<\/p>\n

Aber das ist nur die halbe Wahrheit, wie in den weiteren Befehlen, die ich in obigem Beispiel verwendet habe, klar wird. Mit:<\/p>\n

net user \/add name password<\/p>\n

l\u00e4sst sich \u00fcber den net user<\/em>-Befehl ein neues Benutzerkonto anlegen. Wird an den Namen des Benutzerkontos ein $-Zeichen angeh\u00e4ngt, erzeugt dies ein versteckte Benutzerkonto. Ich habe oben im Beispiel den Befehl<\/p>\n

net user \/add evilborn$ evilpassword<\/p>\n

verwendet, um einen Nutzer mit dem Namen\u00a0 evilborn$ einzurichten. Genau dieses Benutzerkonto taucht aber beim anschlie\u00dfend eingetippten Befehl net user <\/em>nicht in der Auflistung der Benutzerkonten auf. Das Konto existiert aber, da der Befehl:<\/p>\n

net user evilborn$<\/p>\n

die nachfolgende Ausgabe in der Eingabeaufforderung anzeigt.<\/p>\n

\"Hidden<\/p>\n

Wenn also jemand ein System auf kompromittierte Benutzerkonten \u00fcberpr\u00fcft, w\u00fcrde er \u00fcber net user <\/em>genau dieses Benutzerkonto nicht angezeigt bekommen. Geht man dagegen in die Systemsteuerung und schaut sich die Liste der Benutzerkonten an, wird das versteckte (aber aktive) Benutzerkonto dagegen angezeigt.<\/p>\n

\"Windows<\/p>\n

Dort werden aber keine deaktivierten Konten, wie der oben erw\u00e4hnte Eintrag WDAGUtilityAccount<\/em>, gelistet. Das ist etwas, was man bei der Inspektion eines Systems auf eventuell vorhandene Benutzerkonten wissen sollte. Im Business-Umfeld wird man allerdings die Computerverwaltung zur Inspektion der Benutzerkonten einsetzen.<\/p>\n

\"Windows<\/p>\n

Dort wird auch das versteckte Benutzerkonto angezeigt. In den Windows-Home-Varianten lie\u00dfe sich der Befehl:<\/p>\n

control.exe userpasswords2<\/em><\/p>\n

einsetzen. Dann wird auch die Liste der aktiven Benutzerkonten angezeigt, wobei der versteckte Nutzer mit aufgef\u00fchrt wird.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10 Pro: 'Lokale Benutzer und Gruppen' fehlt<\/a>
\nWindows 10: Administratorrechte verloren \u2026<\/a>
\nWindows-Anmeldung zeigt pl\u00f6tzlich \"Anderer Benutzer\"<\/a>
\nAdministratorrechte durch Umstufung zum Gastkonto verloren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Heute noch ein kleiner Sicherheitsbeitrag zu einem Thema, auf das ich k\u00fcrzlich per Zufall gesto\u00dfen bin. Es geht um die M\u00f6glichkeit, unter Windows per net user-Befehl versteckte, aber aktive Benutzerkonten anzulegen. Diese M\u00f6glichkeit wird zunehmend durch Malware ausgenutzt, um eine … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,3288],"class_list":["post-252968","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252968","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252968"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252968\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252968"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252968"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252968"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}