RID Hijacking

RID Hijacking (RID угон) — это метод атаки, применяемый злоумышленниками для повышения привилегий в операционных системах Windows. RID (Relative Identifier) — это уникальная часть идентификатора безопасности (SID), которая идентифицирует конкретную учетную запись в рамках домена или локальной системы.

Механизм RID Hijacking

1. SID и RID: В Windows каждая учетная запись пользователя или группы имеет уникальный SID (Security Identifier), который состоит из нескольких компонентов. Последние цифры в SID называются RID и определяют конкретную учетную запись. Например:

   S-1-5-21-XXXXXXXXXX-YYYYYYYYYY-ZZZZZZZZZZ-500
                       

   Где 500 — RID, обозначающий встроенную учетную запись администратора.
2. Суть атаки: Злоумышленник модифицирует RID целевой учетной записи, чтобы она соответствовала RID учетной записи с повышенными привилегиями, например администратора. Система, основываясь на SID, начинает воспринимать обычную учетную запись как административную.
3. Процесс атаки:
   • Злоумышленник получает доступ к локальной или доменной системе с учетной записью с низкими привилегиями.
   • Используя утилиты (например, Mimikatz или другие инструменты), злоумышленник меняет RID учетной записи на RID учетной записи администратора.
   • В результате учетная запись скомпрометирована и получает привилегии администратора, хотя формально это не "настоящий" администратор.

Почему RID Hijacking возможен?

Это возможно из-за слабостей в структуре управления учетными записями и недостаточного контроля над изменением SID в системах Windows. Операционная система полагается на SID для определения привилегий, и если его структура изменена, система не всегда способна распознать фальсификацию.

Защита от RID Hijacking

1. Мониторинг целостности учетных записей:
   • Используйте инструменты для отслеживания изменений в SID и RID.
   • Настройте мониторинг системных событий для отслеживания подозрительных действий.
2. Минимизация прав доступа:
   • Принцип минимальных привилегий (Least Privilege) для всех учетных записей.
   • Ограничьте доступ к учетным записям, имеющим возможность изменять атрибуты других учетных записей.
3. Использование современных систем защиты:
   • Обновляйте операционную систему и устанавливайте патчи безопасности.
   • Используйте решения EDR (Endpoint Detection and Response), которые могут выявлять и блокировать подобные атаки.
4. Политики аудита и контроля:
   • Включите аудит безопасности для отслеживания изменений в учетных записях.
   • Настройте автоматические оповещения о подозрительных действиях, связанных с привилегиями учетных записей.

RID Hijacking — это относительно скрытая техника повышения привилегий, которая требует от специалистов по безопасности внимания и применения соответствующих мер контроля.