Перехват RID: Новая угроза в кибербезопасности

Изображение: asec.ahnlab.com
Перехват RID представляет собой метод скрытой атаки, который хакеры используют для изменения значения относительного идентификатора (RID) учетной записи с низкими привилегиями, такой как учетная запись обычного пользователя или гостевая учетная запись. Целью данной манипуляции является получение доступа к системе с правами учетной записи администратора, без необходимости создания новой учетной записи или знания пароля.
Сложность обнаружения
Атаки с перехватом RID обладают высокой скрытностью, поскольку они позволяют злоумышленнику обманом заставить систему предоставить повышенные привилегии скомпрометированной учетной записи. Это затрудняет организациям-жертвам обнаружение вредоносной активности. Специальное внимание к данной угрозе было уделено в публикации «TTPs #11: Операция «Осьминог» — анализ стратегий атак, нацеленных на решения централизованного управления», выпущенной Корейским агентством Интернета и безопасности.
Тактика группы Andariel
Группа атаки Andariel была отмечена за использование перехвата RID в качестве части своей тактики для создания бэкдор-доступа в целевых операционных системах. Основными аспектами данной атаки являются:
- Манипуляция базой данных Security Account Manager (SAM) для повышения привилегий, не вызывая подозрений.
- Использование инструментов повышения привилегий, таких как PsExec и JuicyPotato, для получения системных привилегий.
- Создание новых учетных записей с добавлением символа «$» в конце имени для скрытия от стандартных команд.
- Изменение информации об учетной записи, хранящейся в реестре SAM.
Инструменты и методы
Анализ средств атаки, используемых группой Andariel, показывает сложный и продуманный подход к повышению привилегий. Один из таких инструментов, CreateHiddenAccount, использует regini — утилиту командной строки от Microsoft для манипуляции реестром.
Этот инструмент позволяет редактировать разделы реестра, предоставляя злоумышленнику права администратора и облегчая процесс изменения значений RID. Изменив права доступа в реестре SAM, хакеры могут беспрепятственно выполнять атаки с перехватом RID, избегая обнаружения.
Заключение
Вредоносные инструменты, используемые группой Andariel, не ограничиваются простыми манипуляциями с RID. Они также включают функции извлечения соответствующих разделов реестра после взлома, что повышает скрытность и полноту атаки. Такой продуманный подход позволяет злоумышленникам минимизировать вероятность разоблачения и сохранять постоянный доступ к скомпрометированным системам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



