- 20,161
- 46
- 8 Ноя 2022
Хакеры освоили искусство цифрового перевоплощения аккаунтов.
AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows . Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.
<h2>Что такое RID Hijacking?</h2> RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:
<h2>Этапы атаки</h2> <h3>1. Эскалация прав до SYSTEM</h3> Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:
<pre>PsExec.exe -s -i cmd.exe </pre> После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.
<h3>2. Создание учетной записи</h3> Злоумышленники создают новую учетную запись, используя команду <code>net user</code> Если добавить символ «$» к имени учетной записи, она становится скрытой:
<pre>net user hidden_account$ password123 /add </pre> После этого учетную запись добавляют в группы <strong>Администраторы</strong> и <strong>Пользователи удалённого рабочего стола</strong>:
<pre>net localgroup Administrators hidden_account$ /add net localgroup "Remote Desktop Users" hidden_account$ /add </pre> <h3>3. Изменение RID</h3> В реестре Windows учетные записи хранятся по пути:
<pre>HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users </pre> Каждая учетная запись имеет ключ <code>F</code> где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне <code>0x30–0x33</code> Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.
Пример PowerShell-скрипта для изменения RID:
<pre>$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\" $newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID </pre> <h3>4. Удаление и восстановление реестра</h3> Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:
<pre>reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg reg delete HKLM\SAM\SAM\Domains\Account\Users\names reg import hidden_account.reg </pre> <h2>Вредоносные файлы</h2> Группировка Andariel использует два типа инструментов:
<h2>Рекомендации</h2>
AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows . Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.
<h2>Что такое RID Hijacking?</h2> RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:
- Использование существующего аккаунта;
- Активацию гостевой учетной записи;
- Создание нового аккаунта.
<h2>Этапы атаки</h2> <h3>1. Эскалация прав до SYSTEM</h3> Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:
<pre>PsExec.exe -s -i cmd.exe </pre> После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.
<h3>2. Создание учетной записи</h3> Злоумышленники создают новую учетную запись, используя команду <code>net user</code> Если добавить символ «$» к имени учетной записи, она становится скрытой:
<pre>net user hidden_account$ password123 /add </pre> После этого учетную запись добавляют в группы <strong>Администраторы</strong> и <strong>Пользователи удалённого рабочего стола</strong>:
<pre>net localgroup Administrators hidden_account$ /add net localgroup "Remote Desktop Users" hidden_account$ /add </pre> <h3>3. Изменение RID</h3> В реестре Windows учетные записи хранятся по пути:
<pre>HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users </pre> Каждая учетная запись имеет ключ <code>F</code> где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне <code>0x30–0x33</code> Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.
Пример PowerShell-скрипта для изменения RID:
<pre>$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\" $newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID </pre> <h3>4. Удаление и восстановление реестра</h3> Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:
<pre>reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg reg delete HKLM\SAM\SAM\Domains\Account\Users\names reg import hidden_account.reg </pre> <h2>Вредоносные файлы</h2> Группировка Andariel использует два типа инструментов:
- <strong>Собственный вредоносный файл</strong>. Этот инструмент разработан для выполнения всех этапов атаки, включая создание аккаунта, модификацию RID и удаление следов.
- <strong>Открытый инструмент CreateHiddenAccount</strong>. Программа использует стандартный инструмент Windows — <code>regini</code> — для управления реестром. Пример ini-файла:
<h2>Рекомендации</h2>
- Ограничить доступ к реестру и базам SAM с помощью специальных настроек.
- Мониторить команды, выполняемые с привилегиями SYSTEM, с помощью SIEM-систем.
- Использовать решения для анализа поведения (Behavior Analysis), чтобы обнаруживать аномалии.
- Источник новости
- www.securitylab.ru
