影子账户克隆(Shadow Account Cloning)是一种通过复制合法账户属性创建隐蔽恶意账户的技术。攻击者通过提取目标系统中高权限用户或服务账户的SID、组成员关系、登录时间模式等特征,生成具有相同安全描述符但不同凭证的克隆账户。该技术利用身份管理系统对账户属性的信任机制,使恶意账户在权限审计、日志记录等环节呈现与合法账户一致的行为特征,规避基于账户属性异常值的检测。
该技术的匿迹实现依托身份元数据镜像与行为模式仿真双重机制。首先通过提取目标域内高频活跃账户的SID历史、组成员资格、资源访问模式等元数据,构建具备合法属性的克隆账户框架。其次采用凭证轮换策略,将克隆账户的密码更新周期与源账户同步,确保账户策略合规性。在操作层面,攻击者利用域控制器LDAP接口或PowerShell DSC模块实施属性复制,避免触发账户创建告警。技术关键点在于保持克隆账户与源账户的元数据同步率超过阈值检测范围,同时通过限制克隆账户的激活频次(仅在攻击阶段启用)降低暴露风险。最终形成的影子账户在安全信息与事件管理(SIEM)系统中呈现为合法账户的正常衍生实体,实现长期隐蔽驻留。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon