黑客利用 RID 劫持在 Windows 中创建管理员帐户

AhnLab 的网络安全研究人员发现，朝鲜威胁组织使用恶意文件劫持 RID 并授予低权限 Windows 帐户的管理员访问权限。

据ASEC安全情报中心AhnLab研究人员称，此次攻击背后的黑客组织是“Andariel”威胁组织，与朝鲜的Lazarus黑客组织有联系。

“RID 劫持是一种攻击技术，涉及修改低权限帐户（例如普通用户或访客帐户）的 RID 值，以匹配具有较高权限的帐户（管理员）的 RID 值。通过修改 RID 值，威胁行为者可以欺骗系统将该帐户视为具有管理员权限。”AhnLab写了在周四发表的一篇博客文章中。

在 Windows 中，相对标识符 (RID) 是安全标识符 (SID) 的一部分，它专门区分域中的每个用户和组。例如，管理员帐户的 RID 值为“500”，来宾帐户的 RID 值为“501”，域管理员组的 RID 值为“512”，而对于普通用户，RID 将从值“1000”开始。

在RID劫持攻击中，黑客将低权限帐户的RID更改为与管理员帐户相同的值。因此，Windows 向该帐户授予管理权限。

然而，要实现这一目标，攻击者需要访问 SAM（安全帐户管理器）注册表，这要求他们已经对目标计算机具有系统级访问权限以进行修改。

攻击者通常使用 PsExec 和 JuicyPotato 等工具来提升权限并启动系统级命令提示符。

虽然系统访问是 Windows 中的最高权限，但它有一定的限制：它不允许远程访问、无法与 GUI 应用程序交互、生成易于检测到的嘈杂活动，并且在系统重新启动后不会持续存在。

为了解决这些问题，Andariel 首先通过在用户名后附加“$”字符来创建一个隐藏的低权限本地用户帐户。

这使得该帐户在常规列表中不可见，但仍可在 SAM 注册表中访问。攻击者随后进行RID劫持，将账户权限提升至管理员级别。

据研究人员称，Andariel 将修改后的帐户添加到远程桌面用户和管理员组中，使他们能够更好地控制系统。

该组织使用自定义恶意软件和开源工具调整 SAM 注册表来执行 RID 劫持。

虽然系统访问权限可以允许直接创建管理员帐户，但这种方法不太明显，因此难以检测和预防。

为了避免检测，Andariel 还导出并备份了修改后的注册表设置，删除了恶意帐户，并在以后需要时从备份中恢复它，绕过系统日志，使检测变得更加困难。

为了降低 RID 劫持的风险，系统管理员应采取主动措施，例如：