黑客使用RID劫持技术创建秘密的Windows管理帐户

admin 2025年1月27日20:19:50评论12 views字数 1652阅读5分30秒阅读模式

更多全球网络安全资讯尽在邑安全

黑客使用RID劫持技术创建秘密的Windows管理帐户

与朝鲜有关联的 Andariel 黑客组织已被确定为使用复杂的攻击活动,该活动采用相对标识符 (RID) 技术在 Windows 系统上秘密创建隐藏的管理员帐户。

这种欺骗性技术使攻击者能够避开传统的检测措施,同时保持对受感染系统的持续访问。

什么是 RID 劫持?

RID 劫持是一种高级权限提升技术,它操纵低权限账户(如来宾或普通用户)的 RID 值,以匹配高权限账户(如管理员)的 RID。

在 Windows 系统中,RID 是安全标识符 (SID) 的一部分,它唯一标识用户帐户。威胁行为者可以通过各种帐户类型进行 RID 劫持,例如:

  • 利用系统中存在的常规用户帐户

  • 激活来宾帐户

  • 建立新帐户

根据AhnLab Security Intelligence Center (ASEC) 通过修改安全帐户管理器 (SAM) 注册表中的 RID,攻击者可以欺骗操作系统向低权限帐户授予管理权限,而无需管理员的密码。

这种方法特别隐蔽,使用基于行为的安全工具很难检测到。

据观察,Andariel 集团是朝鲜 Lazarus 集团的已知子公司,在其 RID 劫持攻击中采用了以下步骤:

黑客使用RID劫持技术创建秘密的Windows管理帐户

RID 劫持攻击的过程

SYSTEM 权限提升:

存储用户帐户信息的 SAM 注册表需要 SYSTEM 级权限才能访问和修改。Andariel 使用 PsExec 和 JuicyPotato 等工具将其权限升级到 SYSTEM 级别。这些工具使攻击者能够在受感染的系统上以最高权限执行命令。攻击者使用 net user 命令创建一个新的用户账户,并在用户名后附加一个 $ 符号(例如,hiddenuser$)。

这使得该账户在标准用户列表中不可见,但仍可在 SAM 注册表中访问。然后,使用 net localgroup 命令将新创建的帐户添加到关键组,例如远程桌面用户和管理员。

黑客使用RID劫持技术创建秘密的Windows管理帐户帐户创建

使用 SYSTEM 权限,攻击者导航到 SAM 注册表路径:

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers。

它们找到目标账户的密钥,并在偏移量 0x30–0x33 处修改其 F 值,从而更改其以匹配管理员账户的 RID。此操作会诱使 Windows 将低权限帐户视为管理员。

为了逃避检测,Andariel 使用 reg export 命令导出修改后的注册表设置,删除其流氓帐户,然后在需要时从保存的备份中恢复它。

此过程可确保日志不会泄露未经授权的活动。

  • Andariel 使用自定义恶意软件和开源工具进行这些攻击:

  • Andariel 开发的自定义恶意软件修改 SAM 注册表访问权限并执行 RID 劫持。

一个名为 CreateHiddenAccount 的开源工具使用 Microsoft 的 regini.exe 实用程序授予 SAM 注册表修改所需的权限。

RID 劫持本质上是隐蔽的,因为它依赖于注册表修改而不是隐蔽的系统更改。

通过此方法创建的帐户可能不会显示在标准管理工具或命令(如 net user)中。但是,可以通过更深入地检查以下内容来识别它们:

  • SAM 注册表。

  • 计算机管理中的本地用户和组(重新启动后)。

  • 高级 PowerShell 命令,例如 Get-LocalUser。

缓解策略

要防御 RID 劫持攻击:

  • 限制对 PsExec 和 JuicyPotato 等权限提升工具的访问。

  • 使用本地安全机构 (LSA) 子系统服务日志监控 SAM 注册表修改。

  • 对所有账户实施多重身份验证 (MFA),包括低权限账户。

  • 定期审核用户账户和 RID 是否存在异常。

Andariel 组织对 RID 劫持的使用凸显了他们不断发展的策略,即在逃避检测的同时保持持久性。

组织必须采用主动监控和强大的安全措施来缓解此类复杂的威胁。

随着网络安全形势变得越来越复杂,对 RID 劫持等新兴技术保持警惕对于保护敏感系统至关重要。

原文来自: cybersecuritynews.com

原文链接: https://cybersecuritynews.com/hidden-windows-admin-account-exploiting-rid/

原文始发于微信公众号(邑安全):黑客使用RID劫持技术创建秘密的Windows管理帐户

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月27日20:19:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客使用RID劫持技术创建秘密的Windows管理帐户https://cn-sec.com/archives/3681959.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息