微软 Win10 / Win11 新威胁：RID 劫持可提权至管理员控制你的 PC

IT之家 1 月 25 日报道指出，科技媒体 bleepingcomputer 在昨日（1 月 24 日）的一篇文章中披露，黑客组织 Andariel 运用 RID 劫持技术，误导 Windows 10 和 Windows 11 系统，使其将低权限账户误认为是管理员权限账户。

RID 是相对标识符的缩写，是 Windows 系统中安全标识符（SID）的一部分，而 SID 则是分配给每个用户账户的独特标识符。

RID 的数值代表账户的访问级别，例如管理员是“500”，来宾账户是“501”，普通用户是“1000”，域管理员组是“512”。

RID 劫持即指攻击者篡改低权限账户的 RID，使其与管理员账户的 RID 相匹配，从而使 Windows 系统提升其访问权限。然而，要执行此类攻击，黑客需要访问 SAM 注册表，这意味着他们必须首先入侵系统并获取 SYSTEM 权限。

该篇文章详细描述了 Andariel 的攻击步骤：

• Andariel 利用漏洞，获取目标系统上的 SYSTEM 权限。

• 他们运用 PsExec 和 JuicyPotato 等工具启动 SYSTEM 级别的命令提示符，以实现权限的初步提升。

• 尽管 SYSTEM 权限在 Windows 中是最高级别的权限，但它不能远程访问，无法与图形用户界面应用程序互动，易于被检测，且在系统重启后无法保持。因此，为了解决这些问题，Andariel 首先使用“net user”命令创建了一个隐藏的低权限本地用户，在末尾添加“'”字符。

• 这样一来，攻击者确保该账户在“net user”命令中不可见，只能在 SAM 注册表中被发现。随后，他们进行 RID 劫持操作，将权限提升至管理员级别。

• Andariel 将他们的账户加入了远程桌面用户和管理员组。

• 通过修改安全账户管理器（SAM）注册表，黑客便可实现所需的 RID 劫持。他们使用定制的恶意软件和开源工具进行这些更改。

• 尽管 SYSTEM 权限允许直接创建管理员账户，但由于安全设置可能不同，可能会存在一些限制。相比之下，升级普通账户的权限更为隐蔽，更难被察觉和拦截。

• Andariel 尝试通过导出修改后的注册表设置、删除密钥和恶意账户，然后通过保存的备份重新注册来掩盖痕迹，从而在不在系统日志中留下痕迹的情况下重新激活。

为降低 RID 劫持攻击风险，系统管理员应使用本地安全机构（LSA）子系统服务检查登录尝试和密码更改，以及阻止未经授权对 SAM 注册表的访问和更改。此外，建议限制 PsExec、JuicyPotato 等工具的使用，停用 Guest 账户，以及为所有现有账户启用多因素身份验证。

广告声明：本文包含推荐链接，仅用于提供额外信息，节省您的时间，结果仅供参考。