Security Lab

RID Hijacking

RID Hijacking (RID угон) — это метод атаки, применяемый злоумышленниками для повышения привилегий в операционных системах Windows. RID (Relative Identifier) — это уникальная часть идентификатора безопасности (SID), которая идентифицирует конкретную учетную запись в рамках домена или локальной системы.

Механизм RID Hijacking

  1. SID и RID: В Windows каждая учетная запись пользователя или группы имеет уникальный SID (Security Identifier), который состоит из нескольких компонентов. Последние цифры в SID называются RID и определяют конкретную учетную запись. Например: 
    S-1-5-21-XXXXXXXXXX-YYYYYYYYYY-ZZZZZZZZZZ-500
    Где 500 — RID, обозначающий встроенную учетную запись администратора.
  2. Суть атаки: Злоумышленник модифицирует RID целевой учетной записи, чтобы она соответствовала RID учетной записи с повышенными привилегиями, например администратора. Система, основываясь на SID, начинает воспринимать обычную учетную запись как административную.
  3. Процесс атаки:
    • Злоумышленник получает доступ к локальной или доменной системе с учетной записью с низкими привилегиями.
    • Используя утилиты (например, Mimikatz или другие инструменты), злоумышленник меняет RID учетной записи на RID учетной записи администратора.
    • В результате учетная запись скомпрометирована и получает привилегии администратора, хотя формально это не "настоящий" администратор.

Почему RID Hijacking возможен?

Это возможно из-за слабостей в структуре управления учетными записями и недостаточного контроля над изменением SID в системах Windows. Операционная система полагается на SID для определения привилегий, и если его структура изменена, система не всегда способна распознать фальсификацию.

Защита от RID Hijacking

  1. Мониторинг целостности учетных записей:
    • Используйте инструменты для отслеживания изменений в SID и RID.
    • Настройте мониторинг системных событий для отслеживания подозрительных действий.
  2. Минимизация прав доступа:
    • Принцип минимальных привилегий (Least Privilege) для всех учетных записей.
    • Ограничьте доступ к учетным записям, имеющим возможность изменять атрибуты других учетных записей.
  3. Использование современных систем защиты:
    • Обновляйте операционную систему и устанавливайте патчи безопасности.
    • Используйте решения EDR (Endpoint Detection and Response), которые могут выявлять и блокировать подобные атаки.
  4. Политики аудита и контроля:
    • Включите аудит безопасности для отслеживания изменений в учетных записях.
    • Настройте автоматические оповещения о подозрительных действиях, связанных с привилегиями учетных записей.

RID Hijacking — это относительно скрытая техника повышения привилегий, которая требует от специалистов по безопасности внимания и применения соответствующих мер контроля.

Новая техника взлома Windows превращает обычные аккаунты в золотые ключи администратора

Хакеры освоили искусство цифрового перевоплощения аккаунтов.

Найден простой способ сохранения присутствия на ПК Windows

Техника RID Hijacking основана на эксплуатации одного из параметров учетных записей Windows.