AhnLab 的網路安全研究人員發現,北韓威脅組織使用惡意檔案劫持 RID 並授予低權限 Windows 帳戶的管理員存取權限。
據ASEC安全情報中心AhnLab研究人員稱,這次攻擊背後的駭客組織是「Andariel」威脅組織,與北韓的Lazarus駭客組織有聯繫。
「RID 劫持是一種攻擊技術,涉及修改低權限帳戶(例如普通使用者或訪客帳戶)的 RID 值,以匹配具有較高權限的帳戶(管理員)的 RID 值。透過修改 RID 值,威脅參與者可以欺騙系統將帳戶視為具有管理員權限。寫了在周四發表的一篇部落格文章中。
在 Windows 中,相對識別碼 (RID) 是安全性識別碼 (SID) 的一部分,它專門區分網域中的每個使用者和群組。例如,管理員帳戶的 RID 值為“500”,來賓帳戶的 RID 值為“501”,網域管理員群組的 RID 值為“512”,而對於普通用戶,RID 將從值“1000”開始。
在RID劫持攻擊中,駭客將低權限帳戶的RID更改為與管理員帳戶相同的值。因此,Windows 會向該帳戶授予管理權限。
然而,要實現這一目標,攻擊者需要存取 SAM(安全帳戶管理員)註冊表,這要求他們已經對目標電腦具有系統級存取權限以進行修改。
攻擊者通常使用 PsExec 和 JuicyPotato 等工具來提升權限並啟動系統層級命令提示字元。
雖然系統存取是 Windows 中的最高權限,但它有一定的限制:它不允許遠端存取、無法與 GUI 應用程式互動、產生易於檢測到的嘈雜活動,並且在系統重新啟動後不會持續存在。
為了解決這些問題,Andariel 首先透過在使用者名稱後面附加「$」字元來建立一個隱藏的低權限本機使用者帳戶。
這使得該帳戶在常規清單中不可見,但仍可在 SAM 註冊表中存取。攻擊者隨後進行RID劫持,將帳號權限提升至管理員等級。
據研究人員稱,Andariel 將修改後的帳戶添加到遠端桌面用戶和管理員群組中,使他們能夠更好地控制系統。
該組織使用自訂惡意軟體和開源工具調整 SAM 註冊表來執行 RID 劫持。
雖然系統存取權限可以允許直接建立管理員帳戶,但這種方法不太明顯,因此難以檢測和預防。
為了避免檢測,Andariel 還匯出並備份了修改後的註冊表設置,刪除了惡意帳戶,並在以後需要時從備份中恢復它,繞過系統日誌,使檢測變得更加困難。
為了降低 RID 劫持的風險,系統管理員應採取主動措施,例如:
- 使用本機安全機構 (LSA) 子系統服務監視異常登入嘗試和密碼變更。
- 防止未經授權存取 SAM 註冊表。
- 限制 PsExec 和 JuicyPotato 等工具的使用。
- 停用訪客帳戶。
- 對所有使用者帳戶(包括低權限帳戶)實施多重身份驗證 (MFA)。
![2025 年 11 款最佳遊戲 DNS 伺服器 [ 最快 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2018/12/dnsserversforgamingcover.jpg)
