主页 服务器运维
快捷导航
您的位置:主页 > 操作系统 > Windows系列

Win10 / Win11出现新威胁: RID 劫持可提权至管理员控

https://www.518cn.com   发布时间:2025-03-18 15:49   作者:网络
摘要:科技媒体BleepingComputer发布了关于一项新威胁的详细报告,指出活跃于网络空间的黑客组织Andariel利用RID劫持技术,成功欺骗了Win10和Win11系统,使得低权限用户看似拥有管理员权限

科技媒体 bleepingcomputer 于1 月 24 日发布博文,报道称黑客组织 Andariel 利用 RID 劫持技术,欺骗 Windows 10、Windows 11 系统,将低权限账户视为管理员权限账户。

注:RID 全称为 Relative Identifier,直译过来为相对标识符,隶属于 Windows 系统中安全标识符(SID),而 SID 是分配给每个用户账户的唯一标识符。

RID 的值指示账户的访问级别,例如管理员为“500”,来宾账户为“501”,普通用户为“1000”,域管理员组为“512”。

所谓的 RID 劫持,就是攻击者修改低权限账户的 RID,让其匹配管理员账户的 RID 值,Windows 系统就会授予其提升的访问权限。不过执行此攻击需要访问 SAM 注册表,因此黑客需要首先入侵系统并获得 SYSTEM 权限。

博文详细介绍了 Andariel 的攻击流程如下:

  • Andariel 利用漏洞,获得目标系统上的 SYSTEM 权限。
  • 他们使用 PsExec 和 JuicyPotato 等工具启动 SYSTEM 级别的命令提示符,实现初始权限提升。
  • 虽然 SYSTEM 权限是 Windows 上的最高权限,但它不允许远程访问,无法与 GUI 应用程序交互,容易被检测到,并且无法在系统重启后保持。为了解决这些问题,Andariel 首先使用“net user”命令并在末尾添加“'”字符来创建一个隐藏的低权限本地用户。
  • 这样,攻击者确保该账户无法通过“net user”命令看到,只能在 SAM 注册表中识别。然后,他们执行 RID 劫持以将权限提升至管理员级别。
  • Andariel 将他们的账户添加到远程桌面用户和管理员组。
  • 通过修改安全账户管理器(SAM)注册表可以实现所需的 RID 劫持。黑客使用定制的恶意软件和开源工具来执行这些更改。
  • 虽然 SYSTEM 权限允许直接创建管理员账户,但根据安全设置的不同,可能会有一些限制。提升普通账户的权限更加隐蔽,更难被检测和阻止。
  • Andariel 试图通过导出修改后的注册表设置、删除密钥和恶意账户,然后从保存的备份中重新注册来掩盖其踪迹,从而在不出现在系统日志的情况下重新激活。

为了降低 RID 劫持攻击的风险,系统管理员应该使用本地安全机构(LSA)子系统服务来检查登录尝试和密码更改,并防止对 SAM 注册表的未经授权的访问和更改。还建议限制 PsExec、JuicyPotato 和类似工具的执行,禁用 Guest 账户,并使用多因素身份验证保护所有现有账户。

相关文章

最新评论