Эксперты AhnLab Security Intelligence Center (ASEC) выявили, что группа Andariel применяет вредоносный файл для выполнения атаки RID-хайджек (RID Hijacking) в процессе взлома.
RID-хайджек — это техника атаки, которая включает изменение значения RID (Relative Identifier) учетной записи с ограниченными привилегиями (например, обычного пользователя или гостевой учетной записи) на значение учетной записи с более высокими привилегиями, такой как учетная запись администратора.
В отчете Корейского агентства интернета и безопасности (KISA) «TTPs #11: Operation An Octopus – Analysis on Attack Strategies Targeting Centralized Management Solutions» упоминается, что группа Andariel использует технику RID-хайджека для создания бэкдор-аккаунта в операционной системе.
RID-хайджек сложно обнаружить с помощью систем на основе анализа поведения, так как он включает создание скрытого аккаунта и изменение значения RID этой учетной записи.
Злоумышленники используют инструменты повышения привилегий, такие как PsExec и JuicyPotato, чтобы получить доступ с правами SYSTEM. В данном случае PsExec использовался для выполнения вредоносного файла с привилегиями SYSTEM.
Рисунок 2. Пример разрешения файла при использовании команды Psexec (система)
Если при создании имени учетной записи добавить символ
Рисунок 3. Проверка результата создания учетной записи.
После создания учетная запись добавляется в группы Remote Desktop Users и Administrators с помощью команды
В реестре Windows ключи, связанные с учетными записями, находятся в разделе:
RID записывается в формате little-endian в области
Рисунок 4. Ключ, связанный с учетной записью, в реестре SAM
Рисунок 5. Функция смены RID внутри вредоносной программы
После изменения значения RID операционная система Windows распознает учетную запись, созданную злоумышленником, как имеющую те же привилегии, что и целевая учетная запись, что позволяет повысить привилегии.
Таблица 1. Сравнение вредоносных файлов, осуществляющих атаки RID Hijacking
Рисунок 6. Использование
Regini — это инструмент командной строки (CLI), предоставляемый Microsoft, который позволяет редактировать реестр Windows через текстовые файлы. Указав путь к ключу реестра и соответствующие разрешения в текстовом файле, можно выполнять такие действия, как создание, изменение, удаление и изменение разрешений для разделов реестра.
В случае с инструментом CreateHiddenAccount, используемым группой Andariel, INI-файл изменяет права доступа к разделу реестра SAM, необходимого для атаки RID Hijacking. В этом файле разрешение по умолчанию (для Системы) с кодом 17 было добавлено к пути реестра SAM, наряду с опцией 1 (для Администратора). Это позволяет выполнять изменения в разделе реестра SAM с правами администратора.
Таблица 2. Действия и команды для извлечения ключей реестра учетных записей
После этого злоумышленник удаляет свою учетную запись и добавляет ключ реестра снова, используя ранее извлеченный файл REG. Таким образом, учетная запись становится невидимой для команд и инструментов, проверяющих список учетных записей в системе. Однако, в отличие от других методов, если система будет перезагружена, учетная запись снова станет видимой через «Локальные пользователи и группы» в разделе «Управление компьютером», что позволит проверить ее статус.
Созданная таким образом учетная запись не может быть полностью скрыта. Однако действия злоумышленников можно рассматривать как попытку минимизировать видимость учетной записи и сохранить доступ к системе.
Объяснение таблицы:
Источник
RID-хайджек — это техника атаки, которая включает изменение значения RID (Relative Identifier) учетной записи с ограниченными привилегиями (например, обычного пользователя или гостевой учетной записи) на значение учетной записи с более высокими привилегиями, такой как учетная запись администратора.
В отчете Корейского агентства интернета и безопасности (KISA) «TTPs #11: Operation An Octopus – Analysis on Attack Strategies Targeting Centralized Management Solutions» упоминается, что группа Andariel использует технику RID-хайджека для создания бэкдор-аккаунта в операционной системе.
RID-хайджек сложно обнаружить с помощью систем на основе анализа поведения, так как он включает создание скрытого аккаунта и изменение значения RID этой учетной записи.
1. Концепция RID-хайджека
RID-хайджек позволяет злоумышленникам обмануть систему, заставив её рассматривать учетную запись как обладающую привилегиями администратора. Для выполнения атаки злоумышленники могут использовать:- существующую учетную запись обычного пользователя;
- активировать гостевую учетную запись;
- создать новую учетную запись.
2. Процесс атаки RID-хайджек
Этапы атаки включают:2.1 Повышение привилегий до уровня SYSTEM
База SAM управляет аутентификацией и авторизацией в Windows, а также хранит информацию о пользователях. Доступ к базе SAM возможен только с правами SYSTEM.Злоумышленники используют инструменты повышения привилегий, такие как PsExec и JuicyPotato, чтобы получить доступ с правами SYSTEM. В данном случае PsExec использовался для выполнения вредоносного файла с привилегиями SYSTEM.
Рисунок 2. Пример разрешения файла при использовании команды Psexec (система)
2.2 Создание локальной учетной записи
Злоумышленники могут использовать существующие учетные записи или создавать новые. Для выполнения RID-хайджека злоумышленники создали учетную запись с помощью командыnet user.Если при создании имени учетной записи добавить символ
$, она получает атрибут "скрытая" и становится невидимой для команды net user. Однако такая учетная запись отображается в базе SAM.Рисунок 3. Проверка результата создания учетной записи.
После создания учетная запись добавляется в группы Remote Desktop Users и Administrators с помощью команды
net localgroup, что позволяет злоумышленникам использовать RDP-доступ.2.3 Изменение RID через модификацию реестра
Злоумышленники изменяют значение RID учетной записи в реестре SAM, чтобы система воспринимала её как учетную запись с повышенными привилегиями.В реестре Windows ключи, связанные с учетными записями, находятся в разделе:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users.RID записывается в формате little-endian в области
0x30–0x33 значения F для каждой учетной записи. Злоумышленники изменяют это значение на RID целевой учетной записи.Рисунок 4. Ключ, связанный с учетной записью, в реестре SAM
Рисунок 5. Функция смены RID внутри вредоносной программы
После изменения значения RID операционная система Windows распознает учетную запись, созданную злоумышленником, как имеющую те же привилегии, что и целевая учетная запись, что позволяет повысить привилегии.
3. Вредоносный файл, используемый группой Andariel
Группа угроз Andariel использовала вредоносный файл и инструмент с открытым исходным кодом, который они создали сами для проведения атаки RID Hijacking. Оба вредоносных файла содержат процесс атаки, описанный в процессе атаки RID Hijacking, но есть различия в некоторых функциях.Таблица 1. Сравнение вредоносных файлов, осуществляющих атаки RID Hijacking
| Параметр | Вредоносный файл | Инструмент с открытым исходным кодом CreateHiddenAccount |
|---|---|---|
| Тип файла | Создан злоумышленником | Инструмент с открытым исходным кодом |
| Разрешения | SYSTEM | Администратор |
| Действия | Создание учетной записи, добавление в группу, изменение RID, экспорт реестра, удаление записи | Создание учетной записи, изменение SAM через regini, экспорт реестра, активация учетной записи |
| Целевая учетная запись | Жестко задана для окружения жертвы | Указана как параметр |
3.1 Изменение разрешения на доступ к реестру SAM
Для выполнения атаки RID Hijacking необходимы системные привилегии, так как требуется доступ к разделу реестра SAM. Вредоносные образцы, разработанные группой угроз Andariel, не могут функционировать должным образом без этих привилегий. Однако инструмент с открытым исходным кодом CreateHiddenAccount может выполнять все свои функции даже с правами администратора. Анализ работы этого инструмента показал, что для предоставления соответствующих разрешений он использует стандартную программу Windows — regini.Рисунок 6. Использование
Regini — это инструмент командной строки (CLI), предоставляемый Microsoft, который позволяет редактировать реестр Windows через текстовые файлы. Указав путь к ключу реестра и соответствующие разрешения в текстовом файле, можно выполнять такие действия, как создание, изменение, удаление и изменение разрешений для разделов реестра.
В случае с инструментом CreateHiddenAccount, используемым группой Andariel, INI-файл изменяет права доступа к разделу реестра SAM, необходимого для атаки RID Hijacking. В этом файле разрешение по умолчанию (для Системы) с кодом 17 было добавлено к пути реестра SAM, наряду с опцией 1 (для Администратора). Это позволяет выполнять изменения в разделе реестра SAM с правами администратора.
3.2 Поведение при добавлении в реестр
В дополнение к созданию скрытой учетной записи с символом «$» в имени, вредоносный файл, используемый группой Andariel, выполняет дополнительные действия для минимизации обнаружения. После завершения атаки RID Hijacking командаreg export используется для извлечения ключа реестра, связанного с учетной записью.Таблица 2. Действия и команды для извлечения ключей реестра учетных записей
| Действие | Команда |
|---|---|
| Ключ, выполняющий роль сопоставления имен пользователей с RID | reg export hklm\sam\sam\domains\account\users\names\<AccountName> names.reg |
| Извлеченный ключ реестра, содержащий все данные и настройки учетной записи | reg export hklm\sam\sam\domains\account\users\<Account RID Hex Value> users.reg |
После этого злоумышленник удаляет свою учетную запись и добавляет ключ реестра снова, используя ранее извлеченный файл REG. Таким образом, учетная запись становится невидимой для команд и инструментов, проверяющих список учетных записей в системе. Однако, в отличие от других методов, если система будет перезагружена, учетная запись снова станет видимой через «Локальные пользователи и группы» в разделе «Управление компьютером», что позволит проверить ее статус.
Созданная таким образом учетная запись не может быть полностью скрыта. Однако действия злоумышленников можно рассматривать как попытку минимизировать видимость учетной записи и сохранить доступ к системе.
Таблица 3. Сравнение методов проверки списка учетных записей до и после перезагрузки| Категория | Подкатегория | Реестр до повторной регистрации | Реестр после повторной регистрации |
|---|---|---|---|
| Панель управления | Учетная запись пользователя | O | X |
| Управление компьютером | Локальные пользователи и группы | O | X |
| Командная строка (cmd) | Команда net user | X | X |
| PowerShell | Команда Get-LocalUser | O | O |
| WMIC | Команда useraccount | O | O |
| Редактор реестра | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows | X | X |
| Редактор реестра | HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users | O | O |
Объяснение таблицы:
- O — Учетная запись видна при использовании данного метода.
- X — Учетная запись невидима при использовании данного метода.
Источник
Последнее редактирование модератором:
