Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Новая техника взлома Windows превращает обычные учётные записи в администраторские

28/01/25

Micro hack3

AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows. Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов, пишет Securitylab.

RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:

  • Использование существующего аккаунта;
  • Активацию гостевой учетной записи;
  • Создание нового аккаунта.

Для выполнения атак злоумышленники используют базу данных Security Account Manager (SAM), которая отвечает за управление учетными записями. Доступ к SAM требует системных привилегий, поэтому атакующие сначала повышают свои права с помощью инструментов вроде PsExec или JuicyPotato.

Рекомендации

  • Ограничить доступ к реестру и базам SAM с помощью специальных настроек.
  • Мониторить команды, выполняемые с привилегиями SYSTEM, с помощью SIEM-систем.
  • Использовать решения для анализа поведения (Behavior Analysis), чтобы обнаруживать аномалии.

RID Hijacking остаётся опасной угрозой, требующей повышенного внимания к мониторингу привилегий и реестра.

Темы:WindowsПреступленияAhnlab
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...