Перехват RID: Новая угроза в кибербезопасности

Перехват RID: Новая угроза в кибербезопасности

Изображение: asec.ahnlab.com

Перехват RID представляет собой метод скрытой атаки, который хакеры используют для изменения значения относительного идентификатора (RID) учетной записи с низкими привилегиями, такой как учетная запись обычного пользователя или гостевая учетная запись. Целью данной манипуляции является получение доступа к системе с правами учетной записи администратора, без необходимости создания новой учетной записи или знания пароля.

Сложность обнаружения

Атаки с перехватом RID обладают высокой скрытностью, поскольку они позволяют злоумышленнику обманом заставить систему предоставить повышенные привилегии скомпрометированной учетной записи. Это затрудняет организациям-жертвам обнаружение вредоносной активности. Специальное внимание к данной угрозе было уделено в публикации «TTPs #11: Операция «Осьминог» — анализ стратегий атак, нацеленных на решения централизованного управления», выпущенной Корейским агентством Интернета и безопасности.

Тактика группы Andariel

Группа атаки Andariel была отмечена за использование перехвата RID в качестве части своей тактики для создания бэкдор-доступа в целевых операционных системах. Основными аспектами данной атаки являются:

  • Манипуляция базой данных Security Account Manager (SAM) для повышения привилегий, не вызывая подозрений.
  • Использование инструментов повышения привилегий, таких как PsExec и JuicyPotato, для получения системных привилегий.
  • Создание новых учетных записей с добавлением символа «$» в конце имени для скрытия от стандартных команд.
  • Изменение информации об учетной записи, хранящейся в реестре SAM.

Инструменты и методы

Анализ средств атаки, используемых группой Andariel, показывает сложный и продуманный подход к повышению привилегий. Один из таких инструментов, CreateHiddenAccount, использует regini — утилиту командной строки от Microsoft для манипуляции реестром.

Этот инструмент позволяет редактировать разделы реестра, предоставляя злоумышленнику права администратора и облегчая процесс изменения значений RID. Изменив права доступа в реестре SAM, хакеры могут беспрепятственно выполнять атаки с перехватом RID, избегая обнаружения.

Заключение

Вредоносные инструменты, используемые группой Andariel, не ограничиваются простыми манипуляциями с RID. Они также включают функции извлечения соответствующих разделов реестра после взлома, что повышает скрытность и полноту атаки. Такой продуманный подход позволяет злоумышленникам минимизировать вероятность разоблачения и сохранять постоянный доступ к скомпрометированным системам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: