AHNLABのサイバーセキュリティ研究者は、北朝鮮の脅威グループが悪意のあるファイルを使用して、リッドをハイジャックし、低主権のWindowsアカウントへの管理者アクセスを付与することを発見しました。
ASECの研究者であるAhnlabのセキュリティインテリジェンスセンターによると、攻撃の背後にあるハッキンググループは、北朝鮮のラザロハッカーグループにリンクされた「アンダリエル」脅威グループです。
「RIDハイジャックは、通常のユーザーやゲストアカウントなどの低い特権を持つアカウントのRID値を変更することを含む攻撃手法であり、アカウントのRID値をより高い特権(管理者)と一致させます。 RID値を変更することにより、脅威アクターはシステムを欺き、アカウントを管理者の特権を持っていると扱うことができます」とahnlab書いた木曜日に公開されたブログ投稿で。
Windowsでは、相対識別子(RID)はセキュリティ識別子(SID)の一部であり、各ユーザーとグループをドメイン内のグループのみを区別します。たとえば、管理者アカウントには、ゲストアカウントの「500」、「501」、ドメイン管理グループの「512」のRID値があり、通常のユーザーの場合、RIDは「1000の値」から始まります。
RIDのハイジャック攻撃では、ハッカーは、低パリビレゲアカウントのRedを管理者アカウントと同じ値に変更します。その結果、Windowsは管理権をアカウントに付与します。
ただし、これを引き離すには、攻撃者はSAM(セキュリティアカウントマネージャー)レジストリにアクセスする必要があります。これにより、変更のためにターゲットマシンにシステムレベルのアクセスを既にアクセスする必要があります。
攻撃者は通常、PsexecやJuicypotatoなどのツールを使用して特権をエスカレートし、システムレベルのコマンドプロンプトを起動します。
システムアクセスはWindowsで最も高い特権ですが、特定の制限があります。リモートアクセスを許可せず、GUIアプリとの対話ができず、簡単に検出できる騒々しいアクティビティを生成し、システムの再起動後に持続しません。
これらの問題を回避するために、アンダリエルは最初に、ユーザー名に「$」文字を追加することにより、隠された低主種のローカルユーザーアカウントを作成しました。
これにより、アカウントは通常のリストでは見えませんでしたが、SAMレジストリではまだアクセスできます。その後、攻撃者は、アカウントの特権を管理者レベルにエスカレートするために、ハイジャックをリディングしました。
研究者によると、Andarielは修正されたアカウントをリモートデスクトップユーザーと管理者グループに追加し、システムをより多く制御できるようにしました。
グループは、Custom MalwareとOpen-Sourceツールを使用してSAMレジストリを調整して、RIDハイジャックを実行しました。
システムアクセスにより、管理者アカウントの直接的な作成が可能になりますが、この方法は目立たないため、検出と防止が困難になります。
検出を回避するために、Andarielは変更されたレジストリ設定をエクスポートしてバックアップし、Rogueアカウントを削除し、必要に応じてバックアップから後で復元し、システムログをバイパスし、検出をさらに難しくしました。
ハイジャックをRIDするリスクを減らすために、システム管理者は次のような積極的な測定を実装する必要があります。
- ローカルセキュリティ局(LSA)サブシステムサービスを使用して、異常なログインの試みとパスワードの変更を監視します。
- SAMレジストリへの不正アクセスを防ぎます。
- PsexecやJuicypotatoなどのツールの使用を制限します。
- ゲストアカウントを無効にします。
- 控えめなものを含むすべてのユーザーアカウントに多要素認証(MFA)を実施します。