系统所有者/用户发现

对手可能会尝试识别主要用户、当前登录用户、通常使用系统的用户集或用户是否正在积极使用系统。例如，他们可以通过检索帐户用户名或使用操作系统凭证转储来实现。可以通过使用其他发现技术以多种不同方式收集信息，因为用户和用户名详细信息在整个系统中普遍存在，包括运行进程所有权、文件/目录所有权、会话信息和系统日志。对手可能会在自动发现期间使用系统所有者/用户发现中的信息来塑造后续行为，包括对手是否完全感染目标和/或尝试特定操作。 各种实用程序和命令可以获取此信息，包括whoami。在macOS和Linux中，可以使用w和who命令识别当前登录的用户。在macOS上，还可以使用dscl . list /Users | grep -v '_'命令枚举用户帐户。环境变量，如%USERNAME%和$USER，也可以用来访问此信息。 在网络设备上，可以使用网络设备CLI命令，如show users和show ssh来显示当前登录到设备的用户。(引用: show_ssh_users_cmd_cisco)(引用: US-CERT TA18-106A Network Infrastructure Devices 2018)