Los hackers utilizan el secuestro de RID para crear cuentas de administrador en Windows

Los investigadores de ciberseguridad de AhnLab han descubierto que un grupo de amenazas norcoreano utiliza archivos maliciosos para secuestrar RIDs y otorgar acceso de administrador a cuentas de Windows de bajo privilegio.

Según los investigadores de ASEC, el centro de inteligencia de seguridad de AhnLab, el grupo de hackers detrás del ataque es el grupo de amenazas “Andariel”, vinculado al grupo de hackers Lazarus de Corea del Norte.

“RID Hijacking es una técnica de ataque que implica modificar el valor RID de una cuenta con bajos privilegios, como una cuenta de usuario regular o una cuenta de invitado, para que coincida con el valor RID de una cuenta con privilegios más altos (Administrador). Al modificar el valor RID, los actores de amenazas pueden engañar al sistema para que trate la cuenta como si tuviera privilegios de administrador”, escribió AhnLab en una publicación de blog publicada el jueves.

En Windows, un Identificador Relativo (RID) es parte de un Identificador de Seguridad (SID), que distingue exclusivamente a cada usuario y grupo dentro de un dominio. Por ejemplo, una cuenta de administrador tendrá un valor RID de “500”, “501” para cuentas de invitado, “512” para el grupo de administradores de dominio, y para usuarios regulares, el RID comenzará desde el valor “1000”.

En un ataque de secuestro de RID, los hackers cambian el RID de una cuenta de bajo privilegio al mismo valor que una cuenta de administrador. Como resultado, Windows otorga privilegios administrativos a la cuenta.

Sin embargo, para llevar a cabo esto, los atacantes necesitan acceso al registro SAM (Administrador de Cuentas de Seguridad), lo que requiere que ya tengan acceso a nivel de SYSTEM a la máquina objetivo para la modificación.

Los atacantes suelen utilizar herramientas como PsExec y JuicyPotato para escalar sus privilegios y lanzar un símbolo del sistema a nivel de SYSTEM.

Si bien el acceso a SYSTEM es el privilegio más alto en Windows, tiene ciertas limitaciones: no permite acceso remoto, no puede interactuar con aplicaciones GUI, genera actividad ruidosa que puede ser fácilmente detectada y no persiste después de un reinicio del sistema.

Para sortear estos problemas, Andariel primero creó una cuenta de usuario local oculta y de bajo privilegio al agregar un carácter “$” a su nombre de usuario.

Esto hizo que la cuenta fuera invisible en listados regulares, pero aún accesible en el registro SAM. Los atacantes luego llevaron a cabo el secuestro de RID para escalar los privilegios de la cuenta al nivel de administrador.

Según los investigadores, Andariel agregó la cuenta modificada a los grupos de Usuarios de Escritorio Remoto y Administradores, dándoles más control sobre el sistema.

El grupo ajustó el registro SAM utilizando malware personalizado y una herramienta de código abierto para ejecutar el secuestro de RID.

Aunque el acceso a SYSTEM podría permitir la creación directa de cuentas de administrador, este método es menos conspicuo, lo que dificulta su detección y prevención.

Para evitar la detección, Andariel también exportó y respaldó la configuración del registro modificada, eliminó la cuenta maliciosa y la restauró más tarde desde la copia de seguridad cuando fue necesario, eludiendo los registros del sistema y haciendo que la detección fuera aún más difícil.

Para reducir el riesgo de secuestro de RID, los administradores del sistema deben implementar medidas proactivas como:

• Usar el Servicio de Subsistema de Autoridad de Seguridad Local (LSA) para monitorear intentos de inicio de sesión inusuales y cambios de contraseña.

• Prevenir el acceso no autorizado al registro SAM.

• Restringir el uso de herramientas como PsExec y JuicyPotato.

• Deshabilitar cuentas de invitado.

• Hacer cumplir la autenticación multifactor (MFA) para todas las cuentas de usuario, incluidas las de bajo privilegio.