Un grup de amenințări din Coreea de Nord a fost surprins folosind o tehnică numită RID hijacking care păcălește Windows să trateze un cont cu privilegii reduse ca având permisiuni de administrator.
Hackerii au folosit un fișier malicios personalizat și o unealtă open source pentru atacul de hijacking. Ambele utilitare pot realiza atacul, dar cercetătorii de la compania de cybersecurity sud-coreeană AhnLab spun că există diferențe.
Identificatorul relativ (RID) din Windows face parte din Identificatorul de Securitate (SID), o etichetă unică atribuită fiecărui cont de utilizator pentru a-i distinge unul de altul.
RID poate lua valori care indică nivelul de acces al contului, cum ar fi „500” pentru administratori, „501” pentru conturi de oaspeți, „1000” pentru utilizatori obișnuiți și „512” pentru grupul de administratori de domeniu.
RID hijacking apare atunci când atacatorii modifică RID-ul unui cont cu privilegii reduse pentru a se potrivi cu valoarea unui cont de administrator, iar Windows îi va acorda acces ridicat.
Cu toate acestea, realizarea atacului necesită acces la registrul SAM, astfel încât hackerii trebuie mai întâi să spargă sistemul și să obțină accesul SYSTEM.
Cercetătorii ASEC, centrul de informații de securitate al AhnLab, atribuie atacul grupului de amenințări Andariel, care a fost asociat cu grupul de hackeri Lazarus din Coreea de Nord.
Atacurile încep cu Andariel având acces SYSTEM pe țintă prin exploatarea unei vulnerabilități.
Hackerii obțin escaladarea inițială folosind instrumente precum PsExec și JuicyPotato pentru a lansa un prompt de comandă la nivel de SYSTEM.
Chiar dacă accesul SYSTEM este cel mai înalt nivel pe Windows, acesta nu permite accesul de la distanță, nu poate interacționa cu aplicațiile GUI, este foarte zgomotos și probabil de a fi detectat și nu poate persista între repornirile sistemului.
Pentru a aborda aceste probleme, Andariel a creat mai întâi un utilizator local ascuns cu privilegii reduse folosind comanda „net user” și adăugând caracterul ‘$’ la sfârșit.
În acest fel, atacatorul a asigurat că contul nu este vizibil prin comanda „net user” și poate fi identificat doar în registrul SAM. Apoi, au efectuat RID hijacking pentru a crește permisiunile la nivel de administrator.
Potrivit cercetătorilor, Andariel a adăugat contul lor la grupurile de Utilizatori Desktop la Distanță și Administratori.
RID hijacking-ul necesar pentru acest lucru este posibil prin modificările registrului Security Account Manager (SAM). Nord-coreenii folosesc malware personalizat și o unealtă open-source pentru a realiza modificările.
Deși accesul SYSTEM permite crearea directă a contului de administrator, anumite restricții pot apărea în funcție de setările de securitate. Eliberarea privilegiilor conturilor obișnuite este mult mai subtilă și mai greu de detectat și oprit.
Andariel încearcă să-și acopere urmele exportând setările de registru modificate, ștergând cheia și contul fals și apoi reînregistrându-l dintr-o copie de siguranță salvată, permițând reactivarea fără a apărea în jurnalele de sistem.
Pentru a reduce riscurile de atacuri de RID hijacking, administratorii sistemelor ar trebui să folosească Serviciul Subsistemului de Securitate Local (LSA) pentru a verifica încercările de conectare și schimbările de parole, precum și pentru a preveni accesul neautorizat și modificările în registrul SAM.
De asemenea, este recomandabil să restricționați executarea PsExec, JuicyPotato și a uneltelor similare, să dezactivați contul de Oaspeți și să protejați toate conturile existente, chiar și cele cu privilegii reduse, cu autentificare multifactorială.
Mai este de menționat faptul că RID hijacking-ul este cunoscut cel puțin din 2018, când cercetătorul de securitate Sebastián Castro a prezentat atacul la DerbyCon 8 ca tehnică de persistență pe sistemele Windows.
Acum este exploatată o defecțiune a nucleului Windows în atacuri pentru a obține privilegii SYSTEM
Windows 11 24H2 este acum oferit și tuturor PC-urilor Windows 10 eligibile
Microsoft începe actualizarea forțată a dispozitivelor cu Windows 11 22H2, 23H3
7-Zip rezolvă o defecțiune care trece peste avertismentele de securitate Windows MoTW, acum patch-uiți
Defecțiunea plugin-ului W3 Total Cache expune 1 milion de site-uri WordPress la atacuri
Leave a Reply