Hackers Usando Sequestro de RID Para Criar Contas de Administrador no Windows

Pesquisadores de cibersegurança da AhnLab descobriram que um grupo de ameaças da Coreia do Norte usa arquivos maliciosos para sequestrar RIDs e conceder acesso de administrador a contas do Windows com baixo privilégio.

De acordo com os pesquisadores da ASEC, o centro de inteligência de segurança da AhnLab, o grupo de hackers por trás do ataque é o grupo de ameaças “Andariel”, ligado ao grupo de hackers Lazarus da Coreia do Norte.

“Sequestro de RID é uma técnica de ataque que envolve modificar o valor RID de uma conta com baixo privilégio, como uma conta de usuário regular ou uma conta de convidado, para corresponder ao valor RID de uma conta com privilégios mais altos (Administrador). Ao modificar o valor RID, os atores de ameaça podem enganar o sistema para tratar a conta como se tivesse privilégios de administrador”, escreveu a AhnLab em um post de blog publicado na quinta-feira.

No Windows, um Identificador Relativo (RID) é parte de um Identificador de Segurança (SID), que distingue exclusivamente cada usuário e grupo dentro de um domínio. Por exemplo, uma conta de administrador terá um valor RID de “500”, “501” para contas de convidado, “512” para o grupo de administradores de domínio, e para usuários regulares, o RID começará a partir do valor “1000”.

Em um ataque de sequestro de RID, hackers mudam o RID de uma conta de baixo privilégio para o mesmo valor de uma conta de administrador. Como resultado, o Windows concede privilégios administrativos à conta.

No entanto, para realizar isso, os atacantes precisam de acesso ao registro SAM (Gerenciador de Contas de Segurança), o que requer que eles já tenham acesso em nível de SYSTEM à máquina alvo para modificação.

Os atacantes normalmente usam ferramentas como PsExec e JuicyPotato para elevar seus privilégios e lançar um prompt de comando em nível de SYSTEM.

Embora o acesso de SYSTEM seja o maior privilégio no Windows, ele tem certas limitações: não permite acesso remoto, não pode interagir com aplicativos GUI, gera atividade barulhenta que pode ser facilmente detectada e não persiste após uma reinicialização do sistema.

Para contornar esses problemas, Andariel primeiro criou uma conta de usuário local oculta e de baixo privilégio, adicionando um caractere “$” ao seu nome de usuário.

Isso tornou a conta invisível em listagens regulares, mas ainda acessível no registro SAM. Os atacantes então realizaram o sequestro de RID para elevar os privilégios da conta ao nível de administrador.

De acordo com os pesquisadores, Andariel adicionou a conta modificada aos grupos de Usuários e Administradores de Área de Trabalho Remota, dando-lhes mais controle sobre o sistema.

O grupo ajustou o registro SAM usando malware personalizado e uma ferramenta de código aberto para executar o sequestro de RID.

Embora o acesso de SYSTEM pudesse permitir a criação direta de contas de administrador, esse método é menos conspícuo, tornando difícil a detecção e prevenção.

Para evitar a detecção, Andariel também exportou e fez backup das configurações de registro modificadas, excluiu a conta maliciosa e a restaurou mais tarde do backup quando necessário, contornando os logs do sistema e dificultando ainda mais a detecção.

Para reduzir o risco de sequestro de RID, os administradores de sistema devem implementar medidas proativas, como:

• Usar o Serviço de Subsistema da Autoridade de Segurança Local (LSA) para monitorar tentativas de login e mudanças de senha incomuns.

• Prevenir acesso não autorizado ao registro SAM.

• Restringir o uso de ferramentas como PsExec e JuicyPotato.

• Desabilitar contas de convidado.

• Impor autenticação multifatorial (MFA) para todas as contas de usuário, incluindo as de baixo privilégio.