Hackers gebruiken Windows RID-kaping om verborgen beheerdersaccount aan te maken

Een Noord-Koreaanse dreigingsgroep gebruikt een techniek genaamd RID-kaping om Windows te misleiden een account met lage rechten als een account met beheerdersrechten te behandelen.

De hackers gebruikten een aangepast kwaadaardig bestand en een open-sourcetool voor de kapingsaanval. Beide hulpprogramma’s kunnen de aanval uitvoeren, maar onderzoekers bij het Zuid-Koreaanse cybersecuritybedrijf AhnLab zeggen dat er verschillen zijn.

### Hoe RID-kaping werkt

De Relative Identifier (RID) in Windows is onderdeel van de Security Identifier (SID), een unieke tag die aan elk gebruikersaccount wordt toegewezen om onderscheid te maken tussen hen.

RID kan waarden aannemen die het toegangslevel van het account aangeven, zoals “500” voor beheerders, “501” voor gastaccounts, “1000” voor reguliere gebruikers, en “512” voor de domeinbeheerdersgroep.

RID-kaping vindt plaats wanneer aanvallers de RID van een account met lage rechten wijzigen zodat deze overeenkomt met die van een beheerdersaccount, waarna Windows het account verhoogde toegang verleent.

Het uitvoeren van de aanval vereist echter toegang tot het SAM-register, dus de hackers moeten eerst het systeem binnendringen en SYSTEM-toegang verkrijgen.

### Andariel-aanvallen

ASEC-onderzoekers, het beveiligingsintelligentiecentrum van AhnLab, wijten de aanval aan de Andariel-dreigingsgroep, die is gelinkt aan Noord-Korea’s Lazarus-hackergroep.

De aanvallen beginnen met Andariel die SYSTEM-toegang heeft op het doelwit via de exploitatie van een kwetsbaarheid.

De hackers behalen de eerste escalatie door gebruik te maken van tools zoals PsExec en JuicyPotato om een opdrachtprompt op SYSTEM-niveau te starten.

Hoewel SYSTEM-toegang het hoogste niveau op Windows is, staat het geen externe toegang toe, kan het niet interactief met GUI-apps werken, is het erg luidruchtig en waarschijnlijk om gedetecteerd te worden, en kan het niet standhouden tussen systeemherstarts.

Om deze problemen aan te pakken, creëerde Andariel eerst een verborgen lokaal account met lage rechten door gebruik te maken van het “net user”-commando en het toevoegen van het ‘$’-teken aan het eind.

Hierdoor zorgde de aanvaller ervoor dat het account niet zichtbaar is via het “net user”-commando en alleen herkenbaar is in het SAM-register. Vervolgens voerden ze de RID-kaping uit om de rechten te verhogen naar beheerder.

Volgens de onderzoekers heeft Andariel hun account toegevoegd aan de groepen Remote Desktop Users en Administrators.

De RID-kaping die hiervoor nodig is, is mogelijk via aanpassingen in het Security Account Manager (SAM)-register. De Noord-Koreanen gebruiken aangepaste malware en een open-sourcetool om de wijzigingen uit te voeren.

Hoewel SYSTEM-toegang directe creatie van een beheerdersaccount mogelijk maakt, kunnen er afhankelijk van de beveiligingsinstellingen bepaalde beperkingen van toepassing zijn. Het verhogen van de privileges van reguliere accounts is veel subtieler en moeilijker te ontdekken en te stoppen.

Andariel probeert verder zijn sporen te verdoezelen door de gewijzigde registerinstellingen te exporteren, de sleutel en het kwaadaardige account te verwijderen, en deze vervolgens opnieuw te registreren vanuit een opgeslagen backup, waardoor reactivering mogelijk is zonder in de systeemlogboeken te verschijnen.

Om risico’s voor RID-kapingen te beperken, zouden systeembeheerders de Local Security Authority (LSA) Subsystem Service moeten gebruiken om inlogpogingen en wachtwoordwijzigingen te controleren, evenals onbevoegde toegang en wijzigingen aan het SAM-register te voorkomen.

Het is ook aan te raden om de uitvoering van PsExec, JuicyPotato en soortgelijke tools te beperken, het gastaccount uit te schakelen en alle bestaande accounts, zelfs die met lage rechten, te beschermen met multi-factor authenticatie.

RID-kaping is overigens al bekend sinds minstens 2018, toen beveiligingsonderzoeker Sebastián Castro de aanval presenteerde op DerbyCon 8 als een persistentietechniek op Windows-systemen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----