石頭自清潔掃拖機器人G10S評測:多年黑科技集大成之作 懶人終極福音
科技圈經常能看到一個詞叫“縫合怪”,用來形容那些把好多功能或者外觀結合在一起的產品,通常這樣的詞是貶義詞,但如果真的是產品縫合的好、縫合的實用的話,那它就成了中性詞,今
1 月 25 日消息,科技媒體 bleepingcomputer 昨日(1 月 24 日)發布博文,報道稱黑客組織 Andariel 利用 RID 劫持技術,欺騙 Windows 10、Windows 11 系統,將低權限賬戶視為管理員權限賬戶。
注:RID 全稱為 Relative Identifier,直譯過來為相對標識符,隸屬于 Windows 系統中安全標識符(SID),而 SID 是分配給每個用戶賬戶的唯一標識符。
RID 的值指示賬戶的訪問級別,例如管理員為“500”,來賓賬戶為“501”,普通用戶為“1000”,域管理員組為“512”。
所謂的 RID 劫持,就是攻擊者修改低權限賬戶的 RID,讓其匹配管理員賬戶的 RID 值,Windows 系統就會授予其提升的訪問權限。不過執行此攻擊需要訪問 SAM 注冊表,因此黑客需要首先入侵系統并獲得 SYSTEM 權限。
博文詳細介紹了 Andariel 的攻擊流程如下:
Andariel 利用漏洞,獲得目標系統上的 SYSTEM 權限。
他們使用 PsExec 和 JuicyPotato 等工具啟動 SYSTEM 級別的命令提示符,實現初始權限提升。
雖然 SYSTEM 權限是 Windows 上的最高權限,但它不允許遠程訪問,無法與 GUI 應用程序交互,容易被檢測到,并且無法在系統重啟后保持。為了解決這些問題,Andariel 首先使用“net user”命令并在末尾添加“'”字符來創建一個隱藏的低權限本地用戶。
這樣,攻擊者確保該賬戶無法通過“net user”命令看到,只能在 SAM 注冊表中識別。然后,他們執行 RID 劫持以將權限提升至管理員級別。
Andariel 將他們的賬戶添加到遠程桌面用戶和管理員組。
通過修改安全賬戶管理器(SAM)注冊表可以實現所需的 RID 劫持。黑客使用定制的惡意軟件和開源工具來執行這些更改。
雖然 SYSTEM 權限允許直接創建管理員賬戶,但根據安全設置的不同,可能會有一些限制。提升普通賬戶的權限更加隱蔽,更難被檢測和阻止。
Andariel 試圖通過導出修改后的注冊表設置、刪除密鑰和惡意賬戶,然后從保存的備份中重新注冊來掩蓋其蹤跡,從而在不出現在系統日志的情況下重新激活。
為了降低 RID 劫持攻擊的風險,系統管理員應該使用本地安全機構(LSA)子系統服務來檢查登錄嘗試和密碼更改,并防止對 SAM 注冊表的未經授權的訪問和更改。還建議限制 PsExec、JuicyPotato 和類似工具的執行,禁用 Guest 賬戶,并使用多因素身份驗證保護所有現有賬戶。
本文鏈接:http://www.www897cc.com/showinfo-119-127554-0.html微軟 Win10 Win11 新威脅:RID 劫持可提權至管理員控制你的 PC
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號