微软 Win10 / Win11 新威胁：RID 劫持可提权至管理员控制你的 PC

科技媒体 bleepingcomputer 昨日（1 月 24 日）发布博文，报道称黑客组织 Andariel 利用 RID 劫持技术，欺骗 Windows 10、Windows 11 系统，将低权限账户视为管理员权限账户。

注：RID 全称为 Relative Identifier，直译过来为相对标识符，隶属于 Windows 系统中安全标识符（SID），而 SID 是分配给每个用户账户的唯一标识符。

RID 的值指示账户的访问级别，例如管理员为 "500"，来宾账户为 "501"，普通用户为 "1000"，域管理员组为 "512"。

所谓的 RID 劫持，就是攻击者修改低权限账户的 RID，让其匹配管理员账户的 RID 值，Windows 系统就会授予其提升的访问权限。不过执行此攻击需要访问 SAM 注册表，因此黑客需要首先入侵系统并获得 SYSTEM 权限。

博文详细介绍了 Andariel 的攻击流程如下：

Andariel 利用漏洞，获得目标系统上的 SYSTEM 权限。

他们使用 PsExec 和 JuicyPotato 等工具启动 SYSTEM 级别的命令提示符，实现初始权限提升。

虽然 SYSTEM 权限是 Windows 上的最高权限，但它不允许远程访问，无法与 GUI 应用程序交互，容易被检测到，并且无法在系统重启后保持。为了解决这些问题，Andariel 首先使用 "net user" 命令并在末尾添加 "'" 字符来创建一个隐藏的低权限本地用户。

这样，攻击者确保该账户无法通过 "net user" 命令看到，只能在 SAM 注册表中识别。然后，他们执行 RID 劫持以将权限提升至管理员级别。

Andariel 将他们的账户添加到远程桌面用户和管理员组。

通过修改安全账户管理器（SAM）注册表可以实现所需的 RID 劫持。黑客使用定制的恶意软件和开源工具来执行这些更改。

虽然 SYSTEM 权限允许直接创建管理员账户，但根据安全设置的不同，可能会有一些限制。提升普通账户的权限更加隐蔽，更难被检测和阻止。

Andariel 试图通过导出修改后的注册表设置、删除密钥和恶意账户，然后从保存的备份中重新注册来掩盖其踪迹，从而在不出现在系统日志的情况下重新激活。

为了降低 RID 劫持攻击的风险，系统管理员应该使用本地安全机构（LSA）子系统服务来检查登录尝试和密码更改，并防止对 SAM 注册表的未经授权的访问和更改。还建议限制 PsExec、JuicyPotato 和类似工具的执行，禁用 Guest 账户，并使用多因素身份验证保护所有现有账户。