- 19,446
- 40
- 8 Ноя 2022
Хакеры освоили искусство цифрового перевоплощения аккаунтов.
AhnLab Security Intelligence Center (ASEC) Для просмотра ссылки Войдиили Зарегистрируйся об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows . Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.
<h2>Что такое RID Hijacking?</h2> Для просмотра ссылки Войдиили Зарегистрируйся основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:
<h2>Этапы атаки</h2> <h3>1. Эскалация прав до SYSTEM</h3> Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:
<pre>PsExec.exe -s -i cmd.exe </pre> После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.
<h3>2. Создание учетной записи</h3> Злоумышленники создают новую учетную запись, используя команду <code>net user</code> Если добавить символ «$» к имени учетной записи, она становится скрытой:
<pre>net user hidden_account$ password123 /add </pre> После этого учетную запись добавляют в группы <strong>Администраторы</strong> и <strong>Пользователи удалённого рабочего стола</strong>:
<pre>net localgroup Administrators hidden_account$ /add net localgroup "Remote Desktop Users" hidden_account$ /add </pre> <h3>3. Изменение RID</h3> В реестре Windows учетные записи хранятся по пути:
<pre>HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users </pre> Каждая учетная запись имеет ключ <code>F</code> где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне <code>0x30–0x33</code> Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.
Пример PowerShell-скрипта для изменения RID:
<pre>$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\" $newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID </pre> <h3>4. Удаление и восстановление реестра</h3> Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:
<pre>reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg reg delete HKLM\SAM\SAM\Domains\Account\Users\names reg import hidden_account.reg </pre> <h2>Вредоносные файлы</h2> Группировка Andariel использует два типа инструментов:
<h2>Рекомендации</h2>
AhnLab Security Intelligence Center (ASEC) Для просмотра ссылки Войди
<h2>Что такое RID Hijacking?</h2> Для просмотра ссылки Войди
- Использование существующего аккаунта;
- Активацию гостевой учетной записи;
- Создание нового аккаунта.
<h2>Этапы атаки</h2> <h3>1. Эскалация прав до SYSTEM</h3> Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:
<pre>PsExec.exe -s -i cmd.exe </pre> После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.
<h3>2. Создание учетной записи</h3> Злоумышленники создают новую учетную запись, используя команду <code>net user</code> Если добавить символ «$» к имени учетной записи, она становится скрытой:
<pre>net user hidden_account$ password123 /add </pre> После этого учетную запись добавляют в группы <strong>Администраторы</strong> и <strong>Пользователи удалённого рабочего стола</strong>:
<pre>net localgroup Administrators hidden_account$ /add net localgroup "Remote Desktop Users" hidden_account$ /add </pre> <h3>3. Изменение RID</h3> В реестре Windows учетные записи хранятся по пути:
<pre>HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users </pre> Каждая учетная запись имеет ключ <code>F</code> где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне <code>0x30–0x33</code> Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.
Пример PowerShell-скрипта для изменения RID:
<pre>$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\" $newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID </pre> <h3>4. Удаление и восстановление реестра</h3> Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:
<pre>reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg reg delete HKLM\SAM\SAM\Domains\Account\Users\names reg import hidden_account.reg </pre> <h2>Вредоносные файлы</h2> Группировка Andariel использует два типа инструментов:
- <strong>Собственный вредоносный файл</strong>. Этот инструмент разработан для выполнения всех этапов атаки, включая создание аккаунта, модификацию RID и удаление следов.
- <strong>Открытый инструмент CreateHiddenAccount</strong>. Программа использует стандартный инструмент Windows — <code>regini</code> — для управления реестром. Пример ini-файла:
<h2>Рекомендации</h2>
- Ограничить доступ к реестру и базам SAM с помощью специальных настроек.
- Мониторить команды, выполняемые с привилегиями SYSTEM, с помощью Для просмотра ссылки Войди
или Зарегистрируйся - Использовать решения для Для просмотра ссылки Войди
или Зарегистрируйся поведения (Behavior Analysis), чтобы обнаруживать аномалии.
- Источник новости
- www.securitylab.ru
