RIDハイジャックを利用してWindowsで管理者アカウントを作成するハッカー

AhnLabのサイバーセキュリティ研究者は、北朝鮮の脅威グループが悪意のあるファイルを使用してRIDをハイジャックし、低特権のWindowsアカウントに管理者アクセスを付与していることを発見しました。

ASEC研究者によると、攻撃の背後にいるハッキンググループは「Andariel」脅威グループで、北朝鮮のLazarusハッカーグループに関連しています。

「RIDハイジャックは、通常のユーザーやゲストアカウントなどの低特権のアカウントのRID値を、より高い特権（管理者）のアカウントのRID値に一致させることを含む攻撃手法です。RID値を変更することで、脅威アクターはシステムを欺いてアカウントを管理者特権を持つものとして扱わせることができます」とAhnLabは木曜日に公開したブログ記事で述べています。

Windowsでは、相対識別子（RID）はセキュリティ識別子（SID）の一部であり、ドメイン内の各ユーザーおよびグループを独自に区別します。たとえば、管理者アカウントのRID値は「500」、ゲストアカウントは「501」、ドメイン管理者グループは「512」、通常のユーザーの場合、RIDは「1000」から始まります。

RIDハイジャック攻撃では、ハッカーは低特権アカウントのRIDを管理者アカウントと同じ値に変更します。その結果、Windowsはアカウントに管理者特権を付与します。

ただし、これを実行するには、攻撃者はSAM（セキュリティアカウントマネージャー）レジストリにアクセスする必要があり、これはターゲットマシンに対してSYSTEMレベルのアクセス権を既に持っている必要があります。

攻撃者は通常、PsExecやJuicyPotatoなどのツールを使用して特権を昇格させ、SYSTEMレベルのコマンドプロンプトを起動します。

SYSTEMアクセスはWindowsで最高の特権ですが、いくつかの制限があります：リモートアクセスを許可せず、GUIアプリと対話できず、簡単に検出できる騒がしいアクティビティを生成し、システム再起動後には持続しません。

これらの問題を回避するために、Andarielは最初にユーザー名に「$」文字を追加して隠れた低特権のローカルユーザーアカウントを作成しました。

これにより、アカウントは通常のリストには表示されませんが、SAMレジストリでは引き続きアクセス可能です。攻撃者はその後、RIDハイジャックを実行してアカウントの特権を管理者レベルに昇格させました。

研究者によると、Andarielは修正されたアカウントをリモートデスクトップユーザーおよび管理者グループに追加し、システムに対するより多くの制御を得ました。

グループはカスタムマルウェアとオープンソースツールを使用してSAMレジストリを調整し、RIDハイジャックを実行しました。

SYSTEMアクセスは管理者アカウントの直接作成を可能にするかもしれませんが、この方法は目立たず、検出と防止が難しくなります。

検出を避けるために、Andarielは修正されたレジストリ設定をエクスポートしてバックアップし、悪意のあるアカウントを削除し、必要に応じてバックアップから後で復元することで、システムログを回避し、検出をさらに困難にしました。

RIDハイジャックのリスクを減らすために、システム管理者は以下のような積極的な対策を実施するべきです：

• 異常なログイン試行やパスワード変更を監視するためにローカルセキュリティ機関（LSA）サブシステムサービスを使用する。

• SAMレジストリへの不正アクセスを防ぐ。

• PsExecやJuicyPotatoなどのツールの使用を制限する。

• ゲストアカウントを無効にする。

• 低特権アカウントを含むすべてのユーザーアカウントに対して多要素認証（MFA）を強制する。