黑客利用Windows RID劫持技术创建隐藏管理员账户
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
朝鲜黑客组织Andariel利用RID劫持技术,欺骗Windows系统将低权限账户视为管理员,通过修改相对标识符(RID)提升权限。为防范此类攻击,建议检查登录尝试、限制特定工具执行,并启用多因素认证。
🎯
关键要点
- 朝鲜黑客组织Andariel利用RID劫持技术欺骗Windows系统,将低权限账户视为管理员账户。
- RID劫持通过修改相对标识符(RID)实现,攻击者需要获得SYSTEM权限才能执行此攻击。
- Andariel通过利用漏洞获得SYSTEM权限,并使用工具如PsExec和JuicyPotato进行初始权限提升。
- 攻击者创建隐藏的低权限本地用户,并通过RID劫持提升其权限为管理员。
- 为了防范RID劫持攻击,建议检查登录尝试、限制特定工具执行,并启用多因素认证。
- RID劫持技术早在2018年就已被公开,安全研究员曾在DerbyCon 8上演示过。
❓
延伸问答
RID劫持技术是如何工作的?
RID劫持通过修改低权限账户的相对标识符(RID),使其与管理员账户的RID值匹配,从而提升权限。
Andariel黑客组织是如何进行RID劫持攻击的?
Andariel通过利用漏洞获得SYSTEM权限,使用工具如PsExec和JuicyPotato创建隐藏的低权限账户,并进行RID劫持。
如何防范RID劫持攻击?
建议检查登录尝试、限制特定工具执行、禁用来宾账户,并为所有账户启用多因素认证。
RID劫持技术的历史背景是什么?
RID劫持技术早在2018年就已被公开,安全研究员曾在DerbyCon 8上演示过这种技术。
Andariel与Lazarus黑客组织有什么关系?
Andariel被认为与朝鲜的Lazarus黑客组织有关联,属于同一威胁网络。
执行RID劫持攻击需要什么权限?
攻击者需要获得SYSTEM权限才能执行RID劫持攻击。
➡️
