账户发现

对手可能会尝试获取系统或受损环境中的有效账户、用户名或电子邮件地址列表。这些信息可以帮助对手确定哪些账户存在，从而有助于后续行为，例如暴力破解、鱼叉式网络钓鱼攻击或账户接管（例如，有效账户）。 对手可能会使用多种方法枚举账户，包括滥用现有工具、内置命令以及可能泄露账户名称和角色或权限的配置错误。 例如，云环境通常提供易于访问的接口来获取用户列表。(引用: AWS List Users)(引用: Google Cloud - IAM Servie Accounts List API) 在主机上，对手可以使用默认的PowerShell和其他命令行功能来识别账户。有关电子邮件地址和账户的信息也可以通过搜索受感染系统的文件提取。