科技媒體 bleepingcomputer 于1 月 24 日發(fā)布博文，報(bào)道稱黑客組織 Andariel 利用 RID 劫持技術(shù)，欺騙 Windows 10、Windows 11 系統(tǒng)，將低權(quán)限賬戶視為管理員權(quán)限賬戶。

注：RID 全稱為 Relative Identifier，直譯過來為相對(duì)標(biāo)識(shí)符，隸屬于 Windows 系統(tǒng)中安全標(biāo)識(shí)符（SID），而 SID 是分配給每個(gè)用戶賬戶的唯一標(biāo)識(shí)符。

RID 的值指示賬戶的訪問級(jí)別，例如管理員為“500”，來賓賬戶為“501”，普通用戶為“1000”，域管理員組為“512”。

所謂的 RID 劫持，就是攻擊者修改低權(quán)限賬戶的 RID，讓其匹配管理員賬戶的 RID 值，Windows 系統(tǒng)就會(huì)授予其提升的訪問權(quán)限。不過執(zhí)行此攻擊需要訪問 SAM 注冊(cè)表，因此黑客需要首先入侵系統(tǒng)并獲得 SYSTEM 權(quán)限。

博文詳細(xì)介紹了 Andariel 的攻擊流程如下：

• Andariel 利用漏洞，獲得目標(biāo)系統(tǒng)上的 SYSTEM 權(quán)限。
• 他們使用 PsExec 和 JuicyPotato 等工具啟動(dòng) SYSTEM 級(jí)別的命令提示符，實(shí)現(xiàn)初始權(quán)限提升。
• 雖然 SYSTEM 權(quán)限是 Windows 上的最高權(quán)限，但它不允許遠(yuǎn)程訪問，無法與 GUI 應(yīng)用程序交互，容易被檢測(cè)到，并且無法在系統(tǒng)重啟后保持。為了解決這些問題，Andariel 首先使用“net user”命令并在末尾添加“'”字符來創(chuàng)建一個(gè)隱藏的低權(quán)限本地用戶。
• 這樣，攻擊者確保該賬戶無法通過“net user”命令看到，只能在 SAM 注冊(cè)表中識(shí)別。然后，他們執(zhí)行 RID 劫持以將權(quán)限提升至管理員級(jí)別。
• Andariel 將他們的賬戶添加到遠(yuǎn)程桌面用戶和管理員組。
• 通過修改安全賬戶管理器（SAM）注冊(cè)表可以實(shí)現(xiàn)所需的 RID 劫持。黑客使用定制的惡意軟件和開源工具來執(zhí)行這些更改。
• 雖然 SYSTEM 權(quán)限允許直接創(chuàng)建管理員賬戶，但根據(jù)安全設(shè)置的不同，可能會(huì)有一些限制。提升普通賬戶的權(quán)限更加隱蔽，更難被檢測(cè)和阻止。
• Andariel 試圖通過導(dǎo)出修改后的注冊(cè)表設(shè)置、刪除密鑰和惡意賬戶，然后從保存的備份中重新注冊(cè)來掩蓋其蹤跡，從而在不出現(xiàn)在系統(tǒng)日志的情況下重新激活。

為了降低 RID 劫持攻擊的風(fēng)險(xiǎn)，系統(tǒng)管理員應(yīng)該使用本地安全機(jī)構(gòu)（LSA）子系統(tǒng)服務(wù)來檢查登錄嘗試和密碼更改，并防止對(duì) SAM 注冊(cè)表的未經(jīng)授權(quán)的訪問和更改。還建議限制 PsExec、JuicyPotato 和類似工具的執(zhí)行，禁用 Guest 賬戶，并使用多因素身份驗(yàn)證保護(hù)所有現(xiàn)有賬戶。

最新評(píng)論