AHNLAB的网络安全研究人员发现,一个朝鲜威胁小组使用恶意文件来劫持劫持,并授予管理员对低特里维尔Windows帐户的访问。
据ASEC研究人员AHNLAB的安全情报中心称,袭击背后的黑客组织是“ Andariel”威胁集团,与朝鲜的Lazarus Hacker Group相关。
“ RID劫持是一种攻击技术,涉及修改具有较低特权的帐户的RID值,例如常规用户或来宾帐户,以将帐户的RID值与较高的特权(管理员)匹配。通过修改RID价值,威胁行为者可以欺骗系统将帐户视为具有管理员特权的情况,” Ahnlab写在周四发表的博客文章中。
在Windows中,相对标识符(RID)是安全标识符(SID)的一部分,该标识符仅区分域内的每个用户和组。例如,管理员帐户的RID值为“ 500”,“ 501”,用于访客帐户,“ 512”对于域名管理组组,对于常规用户,RID将从“ 1000”的值开始。
在RID劫持攻击中,黑客将RIF的低特你帐户的RIF更改为与管理员帐户相同的值。结果,Windows将管理特权授予帐户。
但是,要实现这一目标,攻击者需要访问SAM(安全客户经理)注册表,这要求他们已经对目标机器具有系统级访问目标进行修改。
攻击者通常使用PSEXEC和JuicyPotato等工具来升级其特权并启动系统级命令提示。
尽管系统访问是Windows中最高特权,但它具有一定的限制:它不允许远程访问,无法与GUI应用程序进行交互,生成嘈杂的活动,该活动可以轻松地检测到,并且在系统重新启动后不会持续存在。
为了解决这些问题,Andariel首先通过将“ $”字符附加到其用户名中,创建了一个隐藏的,低调的本地用户帐户。
这使该帐户在常规上市中不可见,但在SAM注册表中仍然可以访问。然后,攻击者进行了劫持,以将帐户的特权升级到管理员级别。
根据研究人员的说法,安达里尔(Andariel)将修改后的帐户添加到远程桌面用户和管理员组,从而使他们对系统有了更多的控制。
该小组使用自定义恶意软件和开源工具对SAM注册表进行了调整,以执行RID劫持。
尽管系统访问可以直接创建管理员帐户,但此方法不太明显,因此难以检测和预防。
为避免检测,安达利尔还导出并备份了修改后的注册表设置,删除了Rogue帐户,并在需要时将其从备份中恢复,绕过系统日志并使检测更加困难。
为了减少劫持劫持的风险,系统管理员应实施主动措施,例如:
- 使用本地安全局(LSA)子系统服务来监视异常的登录尝试和密码更改。
- 防止未经授权访问SAM注册表。
- 限制使用PSEXEC和JuicyPotato等工具。
- 禁用客人帐户。
- 为所有用户帐户(包括低特权的用户帐户)执行多因素身份验证(MFA)。
