(https://i.postimg.cc/MHCnx91g/Windows.png) (https://postimg.cc/K35GDrq5)
Un grupo de amenazas norcoreano ha estado utilizando una técnica llamada secuestro RID que engaña a Windows para que trate una cuenta con pocos privilegios como si tuviera permisos de administrador.
Los piratas informáticos utilizaron un archivo malicioso personalizado y una herramienta de código abierto para el ataque de secuestro. Ambas utilidades pueden realizar el ataque, pero los investigadores de la empresa de ciberseguridad surcoreana AhnLab afirman que existen diferencias.
Cómo funciona el secuestro RID
El identificador relativo (RID) en Windows es parte del identificador de seguridad (SID), una etiqueta única asignada a cada cuenta de usuario para distinguirlas.
El RID puede tomar valores que indican el nivel de acceso de la cuenta, como "500" para administradores, "501" para cuentas de invitados, "1000" para usuarios normales y "512" para el grupo de administradores de dominio.
El secuestro de RID ocurre cuando los atacantes modifican el RID de una cuenta con pocos privilegios para que coincida con el valor de una cuenta de administrador, y Windows le otorgará acceso elevado.
Sin embargo, para realizar el ataque se requiere acceso al registro SAM, por lo que los piratas informáticos primero deben violar el sistema y obtener acceso a SYSTEM.
Proceso de secuestro de RID
(https://i.postimg.cc/sxqQNjpT/RID-hijacking-process.png) (https://postimages.org/)
Ataques de Andariel
Los investigadores de ASEC, el centro de inteligencia de seguridad de AhnLab, atribuyen el ataque al grupo de amenazas Andariel, que ha sido vinculado al grupo de hackers Lazarus de Corea del Norte.
Los ataques comienzan con Andariel teniendo acceso a SYSTEM en el objetivo a través de la explotación de una vulnerabilidad.
Los hackers logran la escalada inicial utilizando herramientas como PsExec y JuicyPotato para iniciar un símbolo del sistema a nivel de SYSTEM.
Aunque el acceso a SYSTEM es el nivel más alto en Windows, no permite el acceso remoto, no puede interactuar con aplicaciones GUI, es muy ruidoso y es probable que se detecte, y no puede persistir entre reinicios del sistema.
Para abordar estos problemas, Andariel primero creó un usuario local oculto y de bajo privilegio utilizando el comando "net user" y agregando el carácter '$' al final.
Al hacerlo, el atacante se aseguró de que la cuenta no sea visible a través del comando "net user" y solo se pueda identificar en el registro SAM. Luego realizó el secuestro de RID para aumentar los permisos de administrador.
Cuenta Andariel oculta en el sistema Windows
(https://i.postimg.cc/GpKB1JF8/Hidden-Andariel-account-on-Windows-system.png) (https://postimages.org/)
Según los investigadores, Andariel agregó su cuenta a los grupos de usuarios y administradores de escritorio remoto.
El secuestro del RID necesario para ello es posible a través de modificaciones del registro del Administrador de cuentas de seguridad (SAM). Los norcoreanos utilizan malware personalizado y una herramienta de código abierto para realizar los cambios.
(https://i.postimg.cc/jSQ2zQkg/open-source-tool.png) (https://postimages.org/)
Aunque el acceso SYSTEM permite la creación directa de cuentas de administrador, pueden aplicarse ciertas restricciones según la configuración de seguridad. Elevar los privilegios de las cuentas normales es mucho más sigiloso y más difícil de detectar y detener.
Andariel intenta además cubrir sus huellas exportando la configuración de registro modificada, eliminando la clave y la cuenta falsa y luego volviéndola a registrar desde una copia de seguridad guardada, lo que permite la reactivación sin aparecer en los registros del sistema.
Para mitigar los riesgos de ataques de secuestro de RID, los administradores de sistemas deben utilizar el Servicio de subsistema de autoridad de seguridad local (LSA) para verificar los intentos de inicio de sesión y los cambios de contraseña, así como para evitar el acceso no autorizado y los cambios en el registro SAM.
También es recomendable restringir la ejecución de PsExec, JuicyPotato y herramientas similares, deshabilitar la cuenta de invitado y proteger todas las cuentas existentes, incluso las de bajo privilegio, con autenticación multifactor.
Vale la pena señalar que el secuestro de RID se conoce desde al menos 2018, cuando el investigador de seguridad Sebastián Castro presentó el ataque en DerbyCon 8 como una técnica de persistencia en sistemas Windows.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-use-windows-rid-hijacking-to-create-hidden-admin-account/