创建账户: 域信任滥用账户

域信任滥用账户（Domain Trust Abuse Account）是利用跨域信任关系创建隐蔽账户的高级技术。攻击者在已控子域或受信外部域中创建具备跨域访问权限的账户，通过信任链传递机制在目标域内实施操作。该账户在源域中显示为合法实体，但其在目标域的活动不会触发本地账户创建检测机制，有效规避基于单一域内账户变更的监控。

该技术的匿迹核心在于信任边界的穿透与权限传递链的隐蔽构造。攻击者首先在已控子域（如dev.corp.com）创建具备Enterprise Admin等效权限的账户，利用父域（corp.com）的默认信任策略获取跨域访问权限。账户创建过程完全在子域控制器完成，规避目标域的安全策略检测。在权限使用阶段，通过Kerberos票据的约束委派功能，将子域账户权限映射到目标域资源，使得所有操作在目标域审计日志中均显示为来自受信域的合法访问。技术关键点包括维护跨域信任关系的稳定性、控制票据请求频率以匹配正常跨域业务流量，以及利用资源型约束委派（RBCD）绕过传统委派监控。