Взломщики создают скрытый админ-аккаунт Windows через подмену RID

Взломщики создают скрытый админ-аккаунт Windows через подмену RID

Взломщики создают скрытый админ-аккаунт Windows через подмену RID

Эксперты корейской ИБ-компании AhnLab представили результаты разбора техники RID Hijacking, применяемой в целевых атаках кибергруппы Andariel для создания в Windows бэкдор-аккаунтов с правами администратора.

Относительный идентификатор (RID) указывает на уровень доступа учетной записи Windows и является частью SID. Такие значения хранятся в базе данных SAM, по умолчанию доступной лишь с привилегиями SYSTEM.

Авторы рассматриваемых атак получают их после взлома с помощью PsExec. Далее создается скрытая учетная запись обычного пользователя (с использованием команды NET USER), к имени добавляется символ «$».

Подмена RID для повышения привилегий аккаунта осуществляется с помощью специализированного opensource-инструмента и кастомного зловреда (на VirusTotal детектируется с результатом 49/72 по состоянию на 25 января). После этого новый юзер добавляется в группы RDP и администраторов Windows.

 

Для большей скрытности привнесенные в реестр (базу SAM) изменения экспортируются. Также удаляются ключ и бэкдор-аккаунт, который затем вытаскивается из бэкапа и заново регистрируется, чтобы активация не отобразилась в логах.

Инициатором атак RID Hijacking исследователи считают Andariel, входящую в состав Lazarus. Локальное повышение привилегий таким способом трудно выявить и предотвратить.

Снизить риски сисадминам поможет LSA: включенная служба позволяет мониторить попытки входа в систему, замены паролей, а также отслеживать и пресекать несанкционированный доступ к базе SAM.

Кроме того, рекомендуется ограничить использование PsExec, JuicyPotato и подобных им инструментов, отключить гостевые учетные записи, а остальным активировать многофакторную аутентификацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Экосистема Security Vision сертифицирована Минобороны РФ по НДВ-2

Экосистема Security Vision получила сертификат соответствия Министерства обороны РФ (№ 7564 от 28.08.2025) по второму уровню контроля отсутствия недекларированных возможностей (НДВ-2). Документ подтверждает, что платформа и модули соответствуют заявленным возможностям и требованиям руководящих документов в области защиты информации.

Сертификация позволяет использовать Security Vision в защищённых сегментах ИТ-инфраструктуры организаций, подведомственных Минобороны, а также в любых информационных системах, где требуется применение решений с уровнем НДВ-2.

Проверку прошла не только сама Low-code / No-code платформа с её конструкторами (объектов, процессов, отчётов, дашбордов, меню и ролей, коннекторов), но и модули, разработанные на её основе. В их числе:

  • инструменты для реагирования на инциденты (SOAR, NG SOAR),
  • управление активами (AM, CMDB) и уязвимостями (VM, VS),
  • SIEM и модули соответствия требованиям ФЗ-187 (КИИ), ГосСОПКА и ФинЦЕРТ,
  • средства контроля безопасности, анализа угроз (TIP, UEBA), управления рисками (RM, ORM, BCM, CM),
  • сервис-деск и портал самооценки ИБ,
  • а также возможность создавать собственные экспертные модули на базе Low-code / No-code.

Таким образом, сертификация охватывает весь спектр решений Security Vision в рамках утверждённой конфигурации, что позволяет использовать их в государственных и коммерческих системах с повышенными требованиями к защите информации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru