黑客利用 Windows RID 劫持创建隐藏的管理员帐户

一个朝鲜威胁组织一直在使用一种名为 RID 劫持的技术，该技术欺骗 Windows 将低权限帐户视为具有管理员权限的帐户。

黑客使用自定义恶意文件和开源工具进行劫持攻击。这两种工具都可以执行攻击，但韩国网络安全公司 AhnLab 的研究人员表示，它们之间存在差异。

RID 劫持的工作原理

Windows 中的相对标识符 (RID) 是安全标识符 (SID) 的一部分，是分配给每个用户帐户的唯一标签，用于区分它们。

RID 可以采用指示帐户访问级别的值，例如“500”表示管理员，“501”表示来宾帐户，“1000”表示普通用户，“512”表示域管理员组。

当攻击者修改低权限帐户的 RID 以匹配管理员帐户的值时，就会发生 RID 劫持，并且 Windows 将授予其提升的访问权限。

然而，执行攻击需要访问 SAM 注册表，因此黑客需要首先突破系统并获得系统访问权限。

RID劫持过程

来源：ASEC

安达利尔攻击

AhnLab 安全情报中心 ASEC 的研究人员 将此次攻击归咎于 Andariel威胁组织，该组织与朝鲜的 Lazarus 黑客组织有联系。

攻击首先通过利用漏洞让 Andariel 获得目标的系统访问权限。

黑客通过使用 PsExec 和 JuicyPotato 等工具启动系统级命令提示符来实现初始升级。

尽管 SYSTEM 访问权限是 Windows 上的最高级别，但它不允许远程访问，无法与 GUI 应用程序交互，噪音很大且很容易被检测到，并且无法在系统重启之间持续存在。

为了解决这些问题，Andariel 首先使用“net user”命令并在末尾添加“$”字符，创建了一个隐藏的、低权限的本地用户。

这样一来，攻击者就确保该账户无法通过“net user”命令看到，只能在 SAM 注册表中识别。然后他们执行 RID 劫持以增加管理员权限。

Windows系统上隐藏的Andariel账户

来源：AhnLab

据研究人员称，Andariel 将他们的帐户添加到了远程桌面用户和管理员组。

所需的 RID 劫持可通过安全帐户管理器 (SAM) 注册表修改实现。朝鲜人使用自定义恶意软件和开源工具来执行更改。

来源：ASEC

虽然 SYSTEM 访问权限允许直接创建管理员帐户，但根据安全设置可能会有某些限制。提升普通帐户的权限更加隐蔽，更难检测和阻止。

Andariel 进一步尝试通过导出修改后的注册表设置、删除密钥和恶意帐户，然后从保存的备份中重新注册来掩盖其踪迹，从而允许重新激活而不出现在系统日志中。

为了降低 RID 劫持攻击的风险，系统管理员应使用本地安全机构 (LSA) 子系统服务来检查登录尝试和密码更改，以及防止未经授权的访问和更改 SAM 注册表。

还建议限制 PsExec、JuicyPotato 和类似工具的执行，禁用 Guest 帐户，并使用多因素身份验证保护所有现有帐户（即使是低权限帐户）。

值得注意的是，RID 劫持至少自 2018 年就已为人所知，当时安全研究员 Sebastián Castro 在 DerbyCon 8 上展示了这种攻击， 作为 Windows 系统上的一种持久性技术。

原文始发于微信公众号（Ots安全）：黑客利用 Windows RID 劫持创建隐藏的管理员帐户