Новая техника взлома Windows превращает обычные аккаунты в золотые ключи администратора

AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows . Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.

Что такое RID Hijacking?

RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:

• Использование существующего аккаунта;
• Активацию гостевой учетной записи;
• Создание нового аккаунта.

Для выполнения атак злоумышленники используют базу данных Security Account Manager (SAM), которая отвечает за управление учетными записями. Доступ к SAM требует системных привилегий, поэтому атакующие сначала повышают свои права с помощью инструментов вроде PsExec или JuicyPotato.

Этапы атаки

1. Эскалация прав до SYSTEM

Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:

PsExec.exe -s -i cmd.exe            

После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.

2. Создание учетной записи

Злоумышленники создают новую учетную запись, используя команду net user Если добавить символ «$» к имени учетной записи, она становится скрытой:

net user hidden_account$ password123 /add            

После этого учетную запись добавляют в группы Администраторы и Пользователи удалённого рабочего стола:

net localgroup Administrators hidden_account$ /add    net localgroup "Remote Desktop Users" hidden_account$ /add            

3. Изменение RID

В реестре Windows учетные записи хранятся по пути:

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers            

Каждая учетная запись имеет ключ F где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне 0x30–0x33 Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.

Пример PowerShell-скрипта для изменения RID:

$keyPath = "HKLM:SAMSAMDomainsAccountUsers"    $newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора    Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID            

4. Удаление и восстановление реестра

Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:

reg export HKLMSAMSAMDomainsAccountUsers
ames hidden_account.reg    reg delete HKLMSAMSAMDomainsAccountUsers
ames    reg import hidden_account.reg            

Вредоносные файлы

Группировка Andariel использует два типа инструментов:

• Собственный вредоносный файл. Этот инструмент разработан для выполнения всех этапов атаки, включая создание аккаунта, модификацию RID и удаление следов.
• Открытый инструмент CreateHiddenAccount. Программа использует стандартный инструмент Windows — regini — для управления реестром. Пример ini-файла:

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers [1 17]            

Здесь 1 предоставляет доступ администраторам, а 17 — системным процессам.

Рекомендации

• Ограничить доступ к реестру и базам SAM с помощью специальных настроек.
• Мониторить команды, выполняемые с привилегиями SYSTEM, с помощью SIEM-систем.
• Использовать решения для анализа поведения (Behavior Analysis), чтобы обнаруживать аномалии.

RID Hijacking остаётся опасной угрозой, требующей повышенного внимания к мониторингу привилегий и реестра.