Hacker che utilizzano il RID Hijacking per creare account amministrativi in Windows

I ricercatori di cybersecurity di AhnLab hanno scoperto che un gruppo di minaccia nordcoreano utilizza file malevoli per dirottare i RID e concedere accesso amministrativo a account Windows a bassa privilegio.

Secondo i ricercatori di ASEC, il centro di intelligence sulla sicurezza di AhnLab, il gruppo di hacking dietro l’attacco è il gruppo di minaccia “Andariel”, collegato al gruppo di hacker Lazarus della Corea del Nord.

“Il RID Hijacking è una tecnica di attacco che comporta la modifica del valore RID di un account con privilegi bassi, come un utente normale o un account guest, per farlo corrispondere al valore RID di un account con privilegi superiori (Amministratore). Modificando il valore RID, gli attori della minaccia possono ingannare il sistema facendogli trattare l’account come se avesse privilegi di amministratore,” ha scritto AhnLab in un post sul blog pubblicato giovedì.

In Windows, un Identificatore Relativo (RID) è parte di un Identificatore di Sicurezza (SID), che distingue esclusivamente ogni utente e gruppo all’interno di un dominio. Ad esempio, un account amministratore avrà un valore RID di “500”, “501” per gli account guest, “512” per il gruppo degli amministratori di dominio, e per gli utenti normali, il RID partirà dal valore “1000”.

In un attacco di RID hijacking, gli hacker cambiano il RID di un account a bassa privilegio per farlo corrispondere allo stesso valore di un account amministratore. Di conseguenza, Windows concede privilegi amministrativi all’account.

Tuttavia, per realizzare ciò, gli attaccanti hanno bisogno di accesso al registro SAM (Security Account Manager), il che richiede loro di avere già accesso a livello SYSTEM alla macchina mirata per la modifica.

Gli attaccanti utilizzano tipicamente strumenti come PsExec e JuicyPotato per elevare i loro privilegi e avviare un prompt dei comandi a livello SYSTEM.

Sebbene l’accesso SYSTEM sia il privilegio più alto in Windows, presenta alcune limitazioni: non consente l’accesso remoto, non può interagire con le app GUI, genera attività rumorosa che può essere facilmente rilevata e non persiste dopo un riavvio del sistema.

Per aggirare questi problemi, Andariel ha prima creato un account utente locale nascosto e a bassa privilegio aggiungendo un carattere “$” al suo nome utente.

Questo ha reso l’account invisibile nelle liste regolari ma ancora accessibile nel registro SAM. Gli attaccanti hanno quindi eseguito il RID hijacking per elevare i privilegi dell’account al livello di amministratore.

Secondo i ricercatori, Andariel ha aggiunto l’account modificato ai gruppi Remote Desktop Users e Administrators, dando loro maggiore controllo sul sistema.

Il gruppo ha modificato il registro SAM utilizzando malware personalizzato e uno strumento open-source per eseguire il RID hijacking.

Sebbene l’accesso SYSTEM possa consentire la creazione diretta di account amministrativi, questo metodo è meno appariscente, rendendo difficile la rilevazione e la prevenzione.

Per evitare la rilevazione, Andariel ha anche esportato e fatto il backup delle impostazioni di registro modificate, ha eliminato l’account non autorizzato e lo ha ripristinato successivamente dal backup quando necessario, eludendo i registri di sistema e rendendo la rilevazione ancora più difficile.

Per ridurre il rischio di RID hijacking, gli amministratori di sistema dovrebbero implementare misure proattive come:

• Utilizzare il servizio del sottosistema dell’autorità di sicurezza locale (LSA) per monitorare tentativi di accesso e cambi di password insoliti.

• Prevenire l’accesso non autorizzato al registro SAM.

• Limitare l’uso di strumenti come PsExec e JuicyPotato.

• Disabilitare gli account guest.

• Applicare l’autenticazione a più fattori (MFA) per tutti gli account utente, inclusi quelli a bassa privilegio.