黑客组织 Andariel 利用 RID 劫持技术进攻 Windows 系统

近年来，黑客攻击的手段日益复杂化，其中黑客组织 Andariel 最近采用的 RID 劫持技术引起了广泛关注。IT之家报道，Andariel 利用该技术成功发动攻击，目的在于提升本地账户权限，从而进行 unauthorized 访问和破坏。为了深入了解这一攻击方式，我们需要了解一些相关概念及技术背景。

RID，即相对标识符（Relative Identifier），是 Windows 系统中的一种重要身份验证机制，属于安全标识符（SID）的一部分。每个用户账户在 Windows 系统中都会被分配一个唯一的 SID，RID 则用于标识该账户的具体权限。例如，管理员账户的 RID 通常为“500”，来宾账户为“501”，而普通用户的 RID 为“1000”。域管理员组则为“512”。因此，RID 的值直接影响账户的访问级别，攻击者如果能操控这些值，就能实现权限升级。

黑客组织 Andariel 的攻击流程较为复杂，他们通过某种漏洞获得目标 Windows 系统的 SYSTEM 权限。获得这一高权限后，攻击者使用工具如 PsExec 和 JuicyPotato 启动 SYSTEM 级别的命令提示符。尽管 SYSTEM 权限是 Windows 系统提供的最高权限，但这并不意味着黑客可以完全控制系统，因为系统本身不允许远程访问并且对于图形用户界面（GUI）应用程序的交互非常有限。系统重启后，获得的权限也无法维持，因此 Andariel 需要采取额外措施，以确保攻击的隐蔽性和持久性。

为了解决这些限制，Andariel 利用“net user”命令并通过在命令末尾添加单引号（'）字符创建一个隐藏的低权限本地用户。这一策略的巧妙之处在于，该账户在使用“net user”命令查询时是不的，只能在安全账户管理器（SAM）注册表中识别。这为攻击者提供了一个隐蔽的跳板，使其在不引起注意的情况下进行后续的权限提升。

Andariel 执行 RID 劫持以提高账户的权限。通过更改 SAM 注册表，黑客将其隐藏用户的 RID 值修改为管理员账户的 RID 值，这样 Windows 系统将自动授予该账户管理员级别的访问权限。随后，攻击者还将该账户添加到远程桌面用户和管理员组中，以便于后续的远程控制。

值得一提的是，尽管 SYSTEM 权限可以用来直接创建管理员账户，但由于系统的安全设置可能会存在限制，Andariel 选择通过提升普通账户的方式来实现其目的，这一方法不但提高了隐蔽性，也更难被检测和阻止。为了降低被追踪的风险，Andariel 会导出修改后的注册表设置，并在删除相关密钥和恶意账户后，从事先保存的备份中重新注册。这一系列的操作使得攻击在系统日志中几乎不留痕迹，进一步增强了它们的隐秘性。

鉴于 Andariel 的攻击手法日趋复杂，系统管理员需要采取一系列措施来降低 RID 劫持的风险。可以利用本地安全机构（LSA）子系统服务来检查并记录所有登录尝试和密码更改。同时，防止对 SAM 注册表的未经授权访问和修改也是至关重要的一步。限制 PsExec、JuicyPotato 等工具的使用，禁用来宾账户以及加强现有账户的多因素身份验证，都是有效的防护策略。

Andariel 利用 RID 劫持技术对 Windows 系统展开的攻击展示了黑客组织在攻击方式上的创新和灵活性。随着网络安全威胁的不断演变，专业人员与组织必须保持高度警觉，并不断更新和完善他们的防御措施，以有效应对新的安全挑战。环境的变化要求我们运用多层次的安全架构来监控、检测和应对可能出现的攻击，从而保护用户数据和系统的安全。