一个朝鲜威胁组织一直在使用一种名为 RID 劫持的技术,该技术欺骗 Windows 将低权限帐户视为具有管理员权限的帐户。
黑客使用自定义恶意文件和开源工具进行劫持攻击。这两种工具都可以执行攻击,但韩国网络安全公司 AhnLab 的研究人员表示,它们之间存在差异。
RID 劫持的工作原理
Windows 中的相对标识符 (RID) 是安全标识符 (SID) 的一部分,是分配给每个用户帐户的唯一标签,用于区分它们。
RID 可以采用指示帐户访问级别的值,例如“500”表示管理员,“501”表示来宾帐户,“1000”表示普通用户,“512”表示域管理员组。
当攻击者修改低权限帐户的 RID 以匹配管理员帐户的值时,就会发生 RID 劫持,并且 Windows 将授予其提升的访问权限。
然而,执行攻击需要访问 SAM 注册表,因此黑客需要首先突破系统并获得系统访问权限。
RID劫持过程
来源:ASEC
安达利尔攻击
AhnLab 安全情报中心 ASEC 的研究人员 将此次攻击归咎于 Andariel威胁组织,该组织与朝鲜的 Lazarus 黑客组织有联系。
攻击首先通过利用漏洞让 Andariel 获得目标的系统访问权限。
黑客通过使用 PsExec 和 JuicyPotato 等工具启动系统级命令提示符来实现初始升级。
尽管 SYSTEM 访问权限是 Windows 上的最高级别,但它不允许远程访问,无法与 GUI 应用程序交互,噪音很大且很容易被检测到,并且无法在系统重启之间持续存在。
为了解决这些问题,Andariel 首先使用“net user”命令并在末尾添加“$”字符,创建了一个隐藏的、低权限的本地用户。
这样一来,攻击者就确保该账户无法通过“net user”命令看到,只能在 SAM 注册表中识别。然后他们执行 RID 劫持以增加管理员权限。
Windows系统上隐藏的Andariel账户
来源:AhnLab
据研究人员称,Andariel 将他们的帐户添加到了远程桌面用户和管理员组。
所需的 RID 劫持可通过安全帐户管理器 (SAM) 注册表修改实现。朝鲜人使用自定义恶意软件和开源工具来执行更改。
来源:ASEC
虽然 SYSTEM 访问权限允许直接创建管理员帐户,但根据安全设置可能会有某些限制。提升普通帐户的权限更加隐蔽,更难检测和阻止。
Andariel 进一步尝试通过导出修改后的注册表设置、删除密钥和恶意帐户,然后从保存的备份中重新注册来掩盖其踪迹,从而允许重新激活而不出现在系统日志中。
为了降低 RID 劫持攻击的风险,系统管理员应使用本地安全机构 (LSA) 子系统服务来检查登录尝试和密码更改,以及防止未经授权的访问和更改 SAM 注册表。
还建议限制 PsExec、JuicyPotato 和类似工具的执行,禁用 Guest 帐户,并使用多因素身份验证保护所有现有帐户(即使是低权限帐户)。
值得注意的是,RID 劫持至少自 2018 年就已为人所知,当时安全研究员 Sebastián Castro 在 DerbyCon 8 上展示了这种攻击, 作为 Windows 系统上的一种持久性技术。
原文始发于微信公众号(Ots安全):黑客利用 Windows RID 劫持创建隐藏的管理员帐户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论