Новая техника взлома Windows превращает обычные аккаунты в золотые ключи администратора

AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows. Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.

Что такое RID Hijacking?

RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:

• Использование существующего аккаунта;
• Активацию гостевой учетной записи;
• Создание нового аккаунта.

Для выполнения атак злоумышленники используют базу данных Security Account Manager (SAM), которая отвечает за управление учетными записями. Доступ к SAM требует системных привилегий, поэтому атакующие сначала повышают свои права с помощью инструментов вроде PsExec или JuicyPotato.

Этапы атаки

1. Эскалация прав до SYSTEM

Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:

PsExec.exe -s -i cmd.exe
          

После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.

2. Создание учетной записи

Злоумышленники создают новую учетную запись, используя команду net user Если добавить символ «$» к имени учетной записи, она становится скрытой:

net user hidden_account$ password123 /add
          

После этого учетную запись добавляют в группы Администраторы и Пользователи удалённого рабочего стола:

net localgroup Administrators hidden_account$ /add
  net localgroup "Remote Desktop Users" hidden_account$ /add
          

3. Изменение RID

В реестре Windows учетные записи хранятся по пути:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
          

Каждая учетная запись имеет ключ F где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне 0x30–0x33 Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.

Пример PowerShell-скрипта для изменения RID:

$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\"
  $newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора
  Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID
          

4. Удаление и восстановление реестра

Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:

reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg
  reg delete HKLM\SAM\SAM\Domains\Account\Users\names
  reg import hidden_account.reg
          

Вредоносные файлы

Группировка Andariel использует два типа инструментов:

• Собственный вредоносный файл. Этот инструмент разработан для выполнения всех этапов атаки, включая создание аккаунта, модификацию RID и удаление следов.
• Открытый инструмент CreateHiddenAccount. Программа использует стандартный инструмент Windows — regini — для управления реестром. Пример ini-файла:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users [1 17]
          

Здесь 1 предоставляет доступ администраторам, а 17 — системным процессам.

Рекомендации

• Ограничить доступ к реестру и базам SAM с помощью специальных настроек.
• Мониторить команды, выполняемые с привилегиями SYSTEM, с помощью SIEM-систем.
• Использовать решения для анализа поведения (Behavior Analysis), чтобы обнаруживать аномалии.

RID Hijacking остаётся опасной угрозой, требующей повышенного внимания к мониторингу привилегий и реестра.