Хакеры освоили искусство цифрового перевоплощения аккаунтов
AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows. Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.
Для выполнения атак злоумышленники используют базу данных Security Account Manager (SAM), которая отвечает за управление учетными записями. Доступ к SAM требует системных привилегий, поэтому атакующие сначала повышают свои права с помощью инструментов вроде PsExec или JuicyPotato.
После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.
После этого учетную запись добавляют в группы Администраторы и Пользователи удалённого рабочего стола:
Каждая учетная запись имеет ключ F где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне 0x30–0x33 Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.
Пример PowerShell-скрипта для изменения RID:
Здесь 1 предоставляет доступ администраторам, а 17 — системным процессам.
RID Hijacking остаётся опасной угрозой, требующей повышенного внимания к мониторингу привилегий и реестра.
AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows. Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.
Что такое RID Hijacking?
RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:- Использование существующего аккаунта;
- Активацию гостевой учетной записи;
- Создание нового аккаунта.
Для выполнения атак злоумышленники используют базу данных Security Account Manager (SAM), которая отвечает за управление учетными записями. Доступ к SAM требует системных привилегий, поэтому атакующие сначала повышают свои права с помощью инструментов вроде PsExec или JuicyPotato.
Этапы атаки
1. Эскалация прав до SYSTEM
Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:
Код:
PsExec.exe -s -i cmd.exeПосле выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.
2. Создание учетной записи
Злоумышленники создают новую учетную запись, используя команду net user Если добавить символ «$» к имени учетной записи, она становится скрытой:
Код:
net user hidden_account$ password123 /addПосле этого учетную запись добавляют в группы Администраторы и Пользователи удалённого рабочего стола:
Код:
net localgroup Administrators hidden_account$ /add
net localgroup "Remote Desktop Users" hidden_account$ /add3. Изменение RID
В реестре Windows учетные записи хранятся по пути:
Код:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\UsersКаждая учетная запись имеет ключ F где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне 0x30–0x33 Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.
Пример PowerShell-скрипта для изменения RID:
Код:
$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\"
$newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора
Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID4. Удаление и восстановление реестра
Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:
Код:
reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg
reg delete HKLM\SAM\SAM\Domains\Account\Users\names
reg import hidden_account.regВредоносные файлы
Группировка Andariel использует два типа инструментов:- Собственный вредоносный файл. Этот инструмент разработан для выполнения всех этапов атаки, включая создание аккаунта, модификацию RID и удаление следов.
- Открытый инструмент CreateHiddenAccount. Программа использует стандартный инструмент Windows — regini — для управления реестром. Пример ini-файла:
Код:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users [1 17]Здесь 1 предоставляет доступ администраторам, а 17 — системным процессам.
Рекомендации
- Ограничить доступ к реестру и базам SAM с помощью специальных настроек.
- Мониторить команды, выполняемые с привилегиями SYSTEM, с помощью SIEM-систем.
- Использовать решения для анализа поведения (Behavior Analysis), чтобы обнаруживать аномалии.
RID Hijacking остаётся опасной угрозой, требующей повышенного внимания к мониторингу привилегий и реестра.