해커들이 RID 하이재킹을 사용하여 Windows에서 관리자 계정을 생성하는 방법

안랩의 사이버 보안 연구원들은 북한의 위협 그룹이 악성 파일을 사용하여 RID를 하이재킹하고 낮은 권한의 Windows 계정에 관리자 접근 권한을 부여한다는 사실을 발견했습니다.

ASEC 연구원들에 따르면, 이번 공격의 배후 해킹 그룹은 북한의 라자루스 해킹 그룹과 연관된 “안다리엘” 위협 그룹입니다.

“RID 하이재킹은 일반 사용자나 게스트 계정과 같은 낮은 권한의 계정의 RID 값을 높은 권한(관리자)의 RID 값과 일치하도록 수정하는 공격 기법입니다. RID 값을 수정함으로써 위협 행위자는 시스템을 속여 해당 계정이 관리자 권한을 가진 것으로 인식하게 할 수 있습니다.”라고 안랩은 목요일에 발표한 블로그 게시물에서 밝혔습니다.

Windows에서 상대 식별자(RID)는 보안 식별자(SID)의 일부로, 도메인 내의 각 사용자 및 그룹을 독점적으로 구분합니다. 예를 들어, 관리자 계정은 “500”의 RID 값을 가지며, 게스트 계정은 “501”, 도메인 관리자 그룹은 “512”, 일반 사용자의 RID는 “1000”부터 시작합니다.

RID 하이재킹 공격에서 해커는 낮은 권한의 계정의 RID를 관리자 계정과 동일한 값으로 변경합니다. 그 결과, Windows는 해당 계정에 관리자 권한을 부여합니다.

그러나 이를 수행하기 위해 공격자는 SAM(보안 계정 관리자) 레지스트리에 접근해야 하며, 이는 수정하기 위해 타겟 머신에 SYSTEM 수준의 접근 권한이 필요합니다.

공격자는 일반적으로 PsExec 및 JuicyPotato와 같은 도구를 사용하여 권한을 상승시키고 SYSTEM 수준의 명령 프롬프트를 실행합니다.

SYSTEM 접근은 Windows에서 가장 높은 권한이지만 몇 가지 제한 사항이 있습니다: 원격 접근을 허용하지 않으며, GUI 앱과 상호작용할 수 없고, 쉽게 감지될 수 있는 시끄러운 활동을 생성하며, 시스템 재부팅 후에는 지속되지 않습니다.

이러한 문제를 해결하기 위해 안다리엘은 먼저 사용자 이름에 “$” 문자를 추가하여 숨겨진 낮은 권한의 로컬 사용자 계정을 생성했습니다.

이로 인해 계정은 일반 목록에서 보이지 않지만 여전히 SAM 레지스트리에서 접근할 수 있었습니다. 공격자는 이후 RID 하이재킹을 수행하여 계정의 권한을 관리자 수준으로 상승시켰습니다.

연구원들에 따르면, 안다리엘은 수정된 계정을 원격 데스크톱 사용자 및 관리자 그룹에 추가하여 시스템에 대한 더 많은 제어를 부여했습니다.

이 그룹은 사용자 정의 악성 코드와 오픈 소스 도구를 사용하여 SAM 레지스트리를 조정하여 RID 하이재킹을 실행했습니다.

SYSTEM 접근이 관리자 계정을 직접 생성할 수 있게 할 수 있지만, 이 방법은 덜 눈에 띄어 감지 및 방지가 어렵습니다.

감지를 피하기 위해 안다리엘은 수정된 레지스트리 설정을 내보내고 백업한 후, 악성 계정을 삭제하고 필요할 때 백업에서 복원하여 시스템 로그를 우회하고 감지를 더욱 어렵게 만들었습니다.

RID 하이재킹의 위험을 줄이기 위해 시스템 관리자는 다음과 같은 사전 조치를 구현해야 합니다:

• 로컬 보안 권한(LSA) 하위 시스템 서비스를 사용하여 비정상적인 로그인 시도 및 비밀번호 변경을 모니터링합니다.

• SAM 레지스트리에 대한 무단 접근을 방지합니다.

• PsExec 및 JuicyPotato와 같은 도구의 사용을 제한합니다.

• 게스트 계정을 비활성화합니다.

• 낮은 권한 계정을 포함한 모든 사용자 계정에 대해 다단계 인증(MFA)을 시행합니다.