Hacker nutzen RID-Hijacking, um Administratoren-Konten in Windows zu erstellen

Cybersecurity-Forscher von AhnLab haben entdeckt, dass eine nordkoreanische Bedrohungsgruppe bösartige Dateien verwendet, um RIDs zu hijacken und Administratorzugriff auf Windows-Konten mit niedrigen Berechtigungen zu gewähren.

Laut den ASEC-Forschern, dem Sicherheitsintelligenzzentrum von AhnLab, ist die Hackergruppe hinter dem Angriff die „Andariel“-Bedrohungsgruppe, die mit der nordkoreanischen Lazarus-Hackergruppe in Verbindung steht.

„RID-Hijacking ist eine Angriffstechnik, bei der der RID-Wert eines Kontos mit niedrigen Berechtigungen, wie einem regulären Benutzer- oder Gastkonto, so geändert wird, dass er dem RID-Wert eines Kontos mit höheren Berechtigungen (Administrator) entspricht. Durch die Änderung des RID-Werts können Bedrohungsakteure das System täuschen, sodass das Konto als hätte es Administratorrechte behandelt wird“, schrieb AhnLab in einem Blogbeitrag, der am Donnerstag veröffentlicht wurde.

In Windows ist ein Relativer Identifikator (RID) Teil eines Sicherheitsidentifikators (SID), der jeden Benutzer und jede Gruppe innerhalb einer Domäne eindeutig unterscheidet. Zum Beispiel hat ein Administratorkonto einen RID-Wert von „500“, „501“ für Gastkonten, „512“ für die Gruppe der Domänenadministratoren und für reguläre Benutzer beginnt der RID bei dem Wert „1000“.

Bei einem RID-Hijacking-Angriff ändern Hacker den RID eines Kontos mit niedrigen Berechtigungen auf denselben Wert wie ein Administratorkonto. Infolgedessen gewährt Windows dem Konto Administratorrechte.

Um dies zu erreichen, benötigen Angreifer jedoch Zugriff auf die SAM (Security Account Manager)-Registrierung, was erfordert, dass sie bereits SYSTEM-Zugriffsrechte auf der angegriffenen Maschine haben, um Änderungen vorzunehmen.

Angreifer verwenden typischerweise Tools wie PsExec und JuicyPotato, um ihre Berechtigungen zu erhöhen und eine SYSTEM-Befehlszeile zu starten.

Obwohl SYSTEM-Zugriff das höchste Privileg in Windows ist, hat es bestimmte Einschränkungen: Es erlaubt keinen Remote-Zugriff, kann nicht mit GUI-Anwendungen interagieren, erzeugt laute Aktivitäten, die leicht erkannt werden können, und bleibt nach einem Systemneustart nicht bestehen.

Um diese Probleme zu umgehen, hat Andariel zunächst ein verstecktes, lokales Benutzerkonto mit niedrigen Berechtigungen erstellt, indem ein „$“-Zeichen an den Benutzernamen angehängt wurde.

Dies machte das Konto in regulären Auflistungen unsichtbar, aber immer noch im SAM-Registrierung zugänglich. Die Angreifer führten dann RID-Hijacking durch, um die Berechtigungen des Kontos auf Administratorniveau zu erhöhen.

Laut den Forschern fügte Andariel das modifizierte Konto zu den Gruppen der Remotedesktopbenutzer und Administratoren hinzu, was ihnen mehr Kontrolle über das System gab.

Die Gruppe passte die SAM-Registrierung mit benutzerdefinierter Malware und einem Open-Source-Tool an, um das RID-Hijacking auszuführen.

Obwohl SYSTEM-Zugriff die direkte Erstellung von Administratorkonten ermöglichen könnte, ist diese Methode weniger auffällig, was es schwierig macht, sie zu erkennen und zu verhindern.

Um eine Entdeckung zu vermeiden, exportierte Andariel auch die modifizierten Registrierungseinstellungen, sicherte sie, löschte das bösartige Konto und stellte es später bei Bedarf aus dem Backup wieder her, wodurch Systemprotokolle umgangen und die Erkennung noch schwieriger gemacht wurde.

Um das Risiko von RID-Hijacking zu verringern, sollten Systemadministratoren proaktive Maßnahmen ergreifen, wie:

• Verwenden Sie den Local Security Authority (LSA) Subsystem Service, um ungewöhnliche Anmeldeversuche und Passwortänderungen zu überwachen.

• Verhindern Sie unbefugten Zugriff auf die SAM-Registrierung.

• Einschränkung der Verwendung von Tools wie PsExec und JuicyPotato.

• Deaktivierung von Gastkonten.

• Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für alle Benutzerkonten, einschließlich der mit niedrigen Berechtigungen.