Сообщение администратору
Имя:
Почта:
Сообщение:
Вход на сайт
Логин:
Пароль:

Поддержка  •  Дневник  •  О сайте  •  Реклама  •  Поставить баннер  •  Прислать  •  Хроника  •  Translate  •  Рекомендованное  •  Написать администратору OpenToWork Гости: 54    Участники: 0 Авторизация Авторизация   Регистрация 
Метод Научного Тыка
RULVEN
Поиск  
Blackball iMag | интернет-журнал
RSS-лента
Поделиться ссылкой:
Каталог


Начало » Новости » Новая техника взлома Windows превращает обычные аккаунты в золотые ключи администратора

Новая техника взлома Windows превращает обычные аккаунты в золотые ключи администраторановости


Новая техника взлома Windows превращает обычные аккаунты в золотые ключи администратора
Добавлено: Ср 29.01.2025 • Sergeant
Источник: SecurityLab
Просмотров: 18
Комментарии: 0


Хакеры освоили искусство цифрового перевоплощения аккаунтов.

AhnLab Security Intelligence Center (ASEC) сообщил об активности группировки Andariel, которая использует метод RID Hijacking для выполнения атак на системы Windows. Техника позволяет злоумышленникам изменять значения RID (Relative Identifier) учетной записи с низкими привилегиями, превращая её в аккаунт с правами администратора. Особенность методики заключается в том, что атака трудно обнаруживается системами мониторинга, поскольку созданные учетные записи становятся скрытыми для большинства стандартных инструментов.

Что такое RID Hijacking?

RID Hijacking основывается на манипуляциях с реестром Windows. RID — это уникальный идентификатор учетной записи в системе. Если злоумышленник изменяет RID стандартного пользователя, например, гостя, на RID администратора, система начинает воспринимать эту учетную запись как привилегированную. Основные способы атаки включают:

  • Использование существующего аккаунта;
  • Активацию гостевой учетной записи;
  • Создание нового аккаунта.

Для выполнения атак злоумышленники используют базу данных Security Account Manager (SAM), которая отвечает за управление учетными записями. Доступ к SAM требует системных привилегий, поэтому атакующие сначала повышают свои права с помощью инструментов вроде PsExec или JuicyPotato.

Этапы атаки

1. Эскалация прав до SYSTEM

Для изменения реестра злоумышленники должны получить доступ на уровне SYSTEM. Например, инструмент PsExec позволяет выполнить команды с повышенными привилегиями:

PsExec.exe -s -i cmd.exe

После выполнения команда запускает процесс с правами SYSTEM, предоставляя злоумышленнику возможность изменять критические файлы и реестр.

2. Создание учетной записи

Злоумышленники создают новую учетную запись, используя команду:

net user

Если добавить символ «$» к имени учетной записи, она становится скрытой:

net user hidden_account$ password123 /add

После этого учетную запись добавляют в группы Администраторы и Пользователи удалённого рабочего стола:

net localgroup Administrators hidden_account$ /add

  net localgroup "Remote Desktop Users" hidden_account$ /add

3. Изменение RID

В реестре Windows учетные записи хранятся по пути:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

Каждая учетная запись имеет ключ

F

где хранится её RID. RID представляет собой 4 байта данных в формате little-endian в диапазоне

0x30–0x33

Злоумышленники модифицируют эти данные, чтобы RID скрытого аккаунта совпадал с RID администратора.

Пример PowerShell-скрипта для изменения RID:

$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\"
  $newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID администратора
  Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID

4. Удаление и восстановление реестра

Чтобы замести следы, злоумышленники экспортируют модифицированные ключи реестра, удаляют учетную запись и добавляют её обратно из экспортированного файла:

reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg
  reg delete HKLM\SAM\SAM\Domains\Account\Users\names
  reg import hidden_account.reg

Вредоносные файлы

Группировка Andariel использует два типа инструментов:

  • Собственный вредоносный файл. Этот инструмент разработан для выполнения всех этапов атаки, включая создание аккаунта, модификацию RID и удаление следов.
  • Открытый инструмент CreateHiddenAccount. Программа использует стандартный инструмент Windows —

    regini

    — для управления реестром. Пример ini-файла:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users [1 17]

Здесь

1

предоставляет доступ администраторам, а

17

— системным процессам.

Рекомендации

  • Ограничить доступ к реестру и базам SAM с помощью специальных настроек.
  • Мониторить команды, выполняемые с привилегиями SYSTEM, с помощью SIEM-систем.
  • Использовать решения для анализа поведения (Behavior Analysis), чтобы обнаруживать аномалии.

RID Hijacking остаётся опасной угрозой, требующей повышенного внимания к мониторингу привилегий и реестра.



Мне нравится 0   Мне не нравится 0



Комментарии

Чтобы добавить видео с YouTube, нужно написать [@youtube=xxxxx] , где xxxxx – ID видео.


Комментарии: 0
Нет ни одного комментария.

Новое
09:07
«Позвонила мама и сказала: „Сын не будет ходить на работу — я не разрешаю“». Чем зумеры бесят и удивляют белорусов на работе
Тим О’Райли: ИИ не убьёт программирование, но полностью его изменит вчера, 11:37
Тим О’Райли: ИИ не убьёт программирование, но полностью его изменит
Не звони, не опаздывай и не сокращай: шесть главных табу в бизнес-общении 2 дня назад, 12:00
Не звони, не опаздывай и не сокращай: шесть главных табу в бизнес-общении
Суши-торт с рыбой 2 дня назад, 09:01
Суши-торт с рыбой
Золотой лихорадке IT наступил конец 2 дня назад, 07:20
Золотой лихорадке IT наступил конец
Международный язык жестов Пн 10.02.2025
Международный язык жестов
С чем пьют ром: как правильно смешивать и какую закуску выбрать Пт 07.02.2025
С чем пьют ром: как правильно смешивать и какую закуску выбрать
Выключите из розеток чувствительные приборы — Министерство климата и энергетики о переходе на электросеть ЕС Чт 06.02.2025
Выключите из розеток чувствительные приборы — Министерство климата и энергетики о переходе на электросеть ЕС
Самые загрязненные города планеты Пн 03.02.2025
Самые загрязненные города планеты
20 оригинальных рецептов курицы с овощами на сковороде Вс 02.02.2025
20 оригинальных рецептов курицы с овощами на сковороде
Книги
Рецепты TypeScript Вт 21.01.2025
Рецепты TypeScript
Год: 2025
Разработано на основе BlackNight CMS
Release v.2025-01-06
© 2000–2025 Blackball
Дизайн & программирование:
О сайтеРеклама
PULS.LV Professional rating system
Visitors
Web-site performed by Sergey Drozdov
BlackballРекламаСтатистикаПоддержка
МузыкаПлейлистыКиноВидеоИгрыАудиоПрограммыСтатьиКартинкиЮморФорумДневник сайтаПрислать контентРекомендованное
Complete your gift to make an impact
Buy Me A Coffee
Если вам понравился этот сайт и вы хотите меня поддержать, вы можете купить мне кофе. Спасибо!