黑客利用 Windows RID 劫持创建隐藏的管理员帐户

admin 2025年1月26日23:26:41评论12 views字数 1272阅读4分14秒阅读模式
 

黑客利用 Windows RID 劫持创建隐藏的管理员帐户

一个朝鲜威胁组织一直在使用一种名为 RID 劫持的技术,该技术欺骗 Windows 将低权限帐户视为具有管理员权限的帐户。

黑客使用自定义恶意文件和开源工具进行劫持攻击。这两种工具都可以执行攻击,但韩国网络安全公司 AhnLab 的研究人员表示,它们之间存在差异。

RID 劫持的工作原理

Windows 中的相对标识符 (RID) 是安全标识符 (SID) 的一部分,是分配给每个用户帐户的唯一标签,用于区分它们。

RID 可以采用指示帐户访问级别的值,例如“500”表示管理员,“501”表示来宾帐户,“1000”表示普通用户,“512”表示域管理员组。

当攻击者修改低权限帐户的 RID 以匹配管理员帐户的值时,就会发生 RID 劫持,并且 Windows 将授予其提升的访问权限

然而,执行攻击需要访问 SAM 注册表,因此黑客需要首先突破系统并获得系统访问权限。

黑客利用 Windows RID 劫持创建隐藏的管理员帐户

RID劫持过程

来源:ASEC

安达利尔攻击

AhnLab 安全情报中心 ASEC 的研究人员 将此次攻击归咎于 Andariel威胁组织,该组织与朝鲜的 Lazarus 黑客组织有联系。

攻击首先通过利用漏洞让 Andariel 获得目标的系统访问权限。

黑客通过使用 PsExec 和 JuicyPotato 等工具启动系统级命令提示符来实现初始升级。

尽管 SYSTEM 访问权限是 Windows 上的最高级别,但它不允许远程访问,无法与 GUI 应用程序交互,噪音很大且很容易被检测到,并且无法在系统重启之间持续存在。

为了解决这些问题,Andariel 首先使用“net user”命令并在末尾添加“$”字符,创建了一个隐藏的、低权限的本地用户。

这样一来,攻击者就确保该账户无法通过“net user”命令看到,只能在 SAM 注册表中识别。然后他们执行 RID 劫持以增加管理员权限。

黑客利用 Windows RID 劫持创建隐藏的管理员帐户

Windows系统上隐藏的Andariel账户

来源:AhnLab

据研究人员称,Andariel 将他们的帐户添加到了远程桌面用户和管理员组。

所需的 RID 劫持可通过安全帐户管理器 (SAM) 注册表修改实现。朝鲜人使用自定义恶意软件和开源工具来执行更改。

黑客利用 Windows RID 劫持创建隐藏的管理员帐户

来源:ASEC

虽然 SYSTEM 访问权限允许直接创建管理员帐户,但根据安全设置可能会有某些限制。提升普通帐户的权限更加隐蔽,更难检测和阻止。

Andariel 进一步尝试通过导出修改后的注册表设置、删除密钥和恶意帐户,然后从保存的备份中重新注册来掩盖其踪迹,从而允许重新激活而不出现在系统日志中。

为了降低 RID 劫持攻击的风险,系统管理员应使用本地安全机构 (LSA) 子系统服务来检查登录尝试和密码更改,以及防止未经授权的访问和更改 SAM 注册表。

还建议限制 PsExec、JuicyPotato 和类似工具的执行,禁用 Guest 帐户,并使用多因素身份验证保护所有现有帐户(即使是低权限帐户)。

值得注意的是,RID 劫持至少自 2018 年就已为人所知,当时安全研究员 Sebastián Castro 在 DerbyCon 8 上展示了这种攻击, 作为 Windows 系统上的一种持久性技术。

原文始发于微信公众号(Ots安全):黑客利用 Windows RID 劫持创建隐藏的管理员帐户

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月26日23:26:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 Windows RID 劫持创建隐藏的管理员帐户https://cn-sec.com/archives/3678644.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息