黑客使用RID劫持技术创建秘密的Windows管理帐户

与朝鲜有关联的 Andariel 黑客组织已被确定为使用复杂的攻击活动，该活动采用相对标识符 （RID） 技术在 Windows 系统上秘密创建隐藏的管理员帐户。

这种欺骗性技术使攻击者能够避开传统的检测措施，同时保持对受感染系统的持续访问。

什么是 RID 劫持？

RID 劫持是一种高级权限提升技术，它操纵低权限账户（如来宾或普通用户）的 RID 值，以匹配高权限账户（如管理员）的 RID。

在 Windows 系统中，RID 是安全标识符 （SID） 的一部分，它唯一标识用户帐户。威胁行为者可以通过各种帐户类型进行 RID 劫持，例如：

• 利用系统中存在的常规用户帐户

• 激活来宾帐户

• 建立新帐户

根据AhnLab Security Intelligence Center （ASEC） 通过修改安全帐户管理器 （SAM） 注册表中的 RID，攻击者可以欺骗操作系统向低权限帐户授予管理权限，而无需管理员的密码。

这种方法特别隐蔽，使用基于行为的安全工具很难检测到。

据观察，Andariel 集团是朝鲜 Lazarus 集团的已知子公司，在其 RID 劫持攻击中采用了以下步骤：

RID 劫持攻击的过程

SYSTEM 权限提升：

存储用户帐户信息的 SAM 注册表需要 SYSTEM 级权限才能访问和修改。Andariel 使用 PsExec 和 JuicyPotato 等工具将其权限升级到 SYSTEM 级别。这些工具使攻击者能够在受感染的系统上以最高权限执行命令。攻击者使用 net user 命令创建一个新的用户账户，并在用户名后附加一个 $ 符号（例如，hiddenuser$）。

这使得该账户在标准用户列表中不可见，但仍可在 SAM 注册表中访问。然后，使用 net localgroup 命令将新创建的帐户添加到关键组，例如远程桌面用户和管理员。

帐户创建

使用 SYSTEM 权限，攻击者导航到 SAM 注册表路径：

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers。

它们找到目标账户的密钥，并在偏移量 0x30–0x33 处修改其 F 值，从而更改其以匹配管理员账户的 RID。此操作会诱使 Windows 将低权限帐户视为管理员。

为了逃避检测，Andariel 使用 reg export 命令导出修改后的注册表设置，删除其流氓帐户，然后在需要时从保存的备份中恢复它。

此过程可确保日志不会泄露未经授权的活动。

• Andariel 使用自定义恶意软件和开源工具进行这些攻击：

• Andariel 开发的自定义恶意软件修改 SAM 注册表访问权限并执行 RID 劫持。

一个名为 CreateHiddenAccount 的开源工具使用 Microsoft 的 regini.exe 实用程序授予 SAM 注册表修改所需的权限。

RID 劫持本质上是隐蔽的，因为它依赖于注册表修改而不是隐蔽的系统更改。

通过此方法创建的帐户可能不会显示在标准管理工具或命令（如 net user）中。但是，可以通过更深入地检查以下内容来识别它们：

• SAM 注册表。

• 计算机管理中的本地用户和组（重新启动后）。

• 高级 PowerShell 命令，例如 Get-LocalUser。

缓解策略

要防御 RID 劫持攻击：

• 限制对 PsExec 和 JuicyPotato 等权限提升工具的访问。

• 使用本地安全机构 （LSA） 子系统服务日志监控 SAM 注册表修改。

• 对所有账户实施多重身份验证 （MFA），包括低权限账户。

• 定期审核用户账户和 RID 是否存在异常。

Andariel 组织对 RID 劫持的使用凸显了他们不断发展的策略，即在逃避检测的同时保持持久性。

组织必须采用主动监控和强大的安全措施来缓解此类复杂的威胁。

随着网络安全形势变得越来越复杂，对 RID 劫持等新兴技术保持警惕对于保护敏感系统至关重要。

原文来自: cybersecuritynews.com