Новая техника взлома Windows превращает обычные аккаунты в золотые ключи администратора

Хакеры освоили искусство цифрового перевоплощения аккаунтов.

AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows . Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.

Что такое RID Hijacking?

RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:

Использование существующего аккаунта;
Активацию гостевой учетной записи;
Создание нового аккаунта.

Для выполнения атак злоумышленники используют базу данных Security Account Manager (SAM), которая отвечает за управление учетными записями. Доступ к SAM требует системных привилегий, поэтому атакующие сначала повышают свои права с помощью инструментов вроде PsExec или JuicyPotato.

Этапы атаки

1. Эскалация прав до SYSTEM

Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:

PsExec.exe -s -i cmd.exe

После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.

2. Создание учетной записи

Злоумышленники создают новую учетную запись, используя команду net user Если добавить символ «$» к имени учетной записи, она становится скрытой:

net user hidden_account$ password123 /add

После этого учетную запись добавляют в группы Администраторы и Пользователи удалённого рабочего стола:

net localgroup Administrators hidden_account$ /add  net localgroup "Remote Desktop Users" hidden_account$ /add

3. Изменение RID

В реестре Windows учетные записи хранятся по пути:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

Каждая учетная запись имеет ключ F где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне 0x30–0x33 Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.

Пример PowerShell-скрипта для изменения RID:

$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\"  $newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора  Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID

4. Удаление и восстановление реестра

Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:

reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg  reg delete HKLM\SAM\SAM\Domains\Account\Users\names  reg import hidden_account.reg

Вредоносные файлы

Группировка Andariel использует два типа инструментов:

Собственный вредоносный файл. Этот инструмент разработан для выполнения всех этапов атаки, включая создание аккаунта, модификацию RID и удаление следов.
Открытый инструмент CreateHiddenAccount. Программа использует стандартный инструмент Windows — regini — для управления реестром. Пример ini-файла:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users [1 17]

Здесь 1 предоставляет доступ администраторам, а 17 — системным процессам.