Хакеры используют захват RID для создания учетных записей администраторов в Windows

Исследователи в области кибербезопасности из AhnLab обнаружили, что угроза из Северной Кореи использует вредоносные файлы для захвата RID и предоставления административного доступа учетным записям с низкими привилегиями в Windows.

Согласно исследователям ASEC, центру безопасности AhnLab, группа хакеров, стоящая за атакой, является угрозой «Andariel», связанной с хакерской группой Lazarus из Северной Кореи.

«Захват RID — это техника атаки, которая включает в себя изменение значения RID учетной записи с низкими привилегиями, такой как обычный пользователь или учетная запись гостя, чтобы оно соответствовало значению RID учетной записи с более высокими привилегиями (Администратор). Изменяя значение RID, злоумышленники могут обмануть систему, заставив ее считать, что учетная запись имеет привилегии администратора», — написали в AhnLab в блоге, опубликованном в четверг.

В Windows относительный идентификатор (RID) является частью идентификатора безопасности (SID), который исключительно различает каждого пользователя и группу в пределах домена. Например, учетная запись администратора будет иметь значение RID «500», «501» для учетных записей гостей, «512» для группы администраторов домена, а для обычных пользователей RID будет начинаться с значения «1000».

В атаке захвата RID хакеры изменяют RID учетной записи с низкими привилегиями на то же значение, что и учетная запись администратора. В результате Windows предоставляет административные привилегии этой учетной записи.

Однако для этого злоумышленникам нужен доступ к реестру SAM (Security Account Manager), что требует от них уже иметь доступ на уровне SYSTEM к целевой машине для модификации.

Злоумышленники обычно используют такие инструменты, как PsExec и JuicyPotato, чтобы повысить свои привилегии и запустить командную строку на уровне SYSTEM.

Хотя доступ на уровне SYSTEM является наивысшей привилегией в Windows, у него есть определенные ограничения: он не позволяет удаленный доступ, не может взаимодействовать с графическими приложениями, генерирует шумную активность, которую легко обнаружить, и не сохраняется после перезагрузки системы.

Чтобы обойти эти проблемы, Andariel сначала создала скрытую учетную запись локального пользователя с низкими привилегиями, добавив символ «$» к имени пользователя.

Это сделало учетную запись невидимой в обычных списках, но все еще доступной в реестре SAM. Затем злоумышленники провели захват RID, чтобы повысить привилегии учетной записи до уровня администратора.

Согласно исследователям, Andariel добавила модифицированную учетную запись в группы пользователей удаленного рабочего стола и администраторов, что дало им больше контроля над системой.

Группа изменила реестр SAM с помощью пользовательского вредоносного ПО и инструмента с открытым исходным кодом для выполнения захвата RID.

Хотя доступ на уровне SYSTEM мог бы позволить прямое создание учетных записей администраторов, этот метод менее заметен, что затрудняет его обнаружение и предотвращение.

Чтобы избежать обнаружения, Andariel также экспортировала и создала резервную копию модифицированных настроек реестра, удалила злонамеренную учетную запись и восстановила ее позже из резервной копии по мере необходимости, обходя системные журналы и делая обнаружение еще более трудным.

Чтобы снизить риск захвата RID, системные администраторы должны внедрить проактивные меры, такие как:

• Используйте службу подсистемы локального управления безопасностью (LSA) для мониторинга необычных попыток входа и изменений паролей.

• Предотвращение несанкционированного доступа к реестру SAM.

• Ограничение использования таких инструментов, как PsExec и JuicyPotato.

• Отключение учетных записей гостей.

• Принуждение к многофакторной аутентификации (MFA) для всех учетных записей пользователей, включая учетные записи с низкими привилегиями.