28/01/25
AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows. Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов, пишет Securitylab.
RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:
- Использование существующего аккаунта;
- Активацию гостевой учетной записи;
- Создание нового аккаунта.
Для выполнения атак злоумышленники используют базу данных Security Account Manager (SAM), которая отвечает за управление учетными записями. Доступ к SAM требует системных привилегий, поэтому атакующие сначала повышают свои права с помощью инструментов вроде PsExec или JuicyPotato.
Рекомендации
- Ограничить доступ к реестру и базам SAM с помощью специальных настроек.
- Мониторить команды, выполняемые с привилегиями SYSTEM, с помощью SIEM-систем.
- Использовать решения для анализа поведения (Behavior Analysis), чтобы обнаруживать аномалии.
RID Hijacking остаётся опасной угрозой, требующей повышенного внимания к мониторингу привилегий и реестра.
