Windows系統(tǒng)遭遇新威脅：Andariel黑客組織利用RID劫持提權(quán)

近日，科技新聞界傳來一則關(guān)于網(wǎng)絡(luò)安全的新警報(bào)。據(jù)報(bào)道，黑客組織Andariel采用了一種名為RID劫持的技術(shù)手段，成功繞過了Windows 10和Windows 11系統(tǒng)的安全防線，將普通用戶賬戶偽裝成了擁有管理員權(quán)限的高級(jí)賬戶。

RID，全稱為相對(duì)標(biāo)識(shí)符（Relative Identifier），是Windows系統(tǒng)中安全標(biāo)識(shí)符（SID）的一部分。SID作為每個(gè)用戶賬戶的唯一“身份證”，在系統(tǒng)中扮演著至關(guān)重要的角色。而RID的值則直接關(guān)聯(lián)到賬戶的訪問級(jí)別，例如管理員賬戶的RID通常為“500”，來賓賬戶為“501”，普通用戶則為“1000”。

Andariel組織所實(shí)施的RID劫持攻擊，其核心在于篡改低權(quán)限賬戶的RID值，使其與管理員賬戶的RID相匹配。這樣一來，Windows系統(tǒng)便會(huì)錯(cuò)誤地將這些低權(quán)限賬戶視為管理員賬戶，從而授予它們更高的訪問權(quán)限。然而，這一攻擊并非輕而易舉，攻擊者首先需要入侵系統(tǒng)并獲得SYSTEM權(quán)限，才能對(duì)安全賬戶管理器（SAM）注冊(cè)表進(jìn)行操作。

據(jù)詳細(xì)了解，Andariel的攻擊流程相當(dāng)復(fù)雜且狡猾。他們首先利用系統(tǒng)漏洞獲得SYSTEM權(quán)限，這是Windows上的最高權(quán)限級(jí)別。隨后，他們使用PsExec和JuicyPotato等工具啟動(dòng)SYSTEM級(jí)別的命令提示符，實(shí)現(xiàn)了初始權(quán)限的提升。然而，SYSTEM權(quán)限雖然強(qiáng)大，但也有著諸多限制，如無法遠(yuǎn)程訪問、無法與GUI應(yīng)用程序交互、容易被檢測(cè)到等。因此，Andariel組織又采取了一系列措施來規(guī)避這些限制。

他們通過“net user”命令創(chuàng)建了一個(gè)隱藏的低權(quán)限本地用戶賬戶，這個(gè)賬戶在常規(guī)命令下無法被察覺，只能在SAM注冊(cè)表中找到。接下來，他們利用RID劫持技術(shù)，將這個(gè)隱藏賬戶的權(quán)限提升至管理員級(jí)別。之后，Andariel組織還將他們的賬戶添加到了遠(yuǎn)程桌面用戶和管理員組中，進(jìn)一步鞏固了他們的控制權(quán)。

為了掩蓋攻擊痕跡，Andariel組織還精心設(shè)計(jì)了撤退計(jì)劃。他們導(dǎo)出修改后的注冊(cè)表設(shè)置，刪除相關(guān)密鑰和惡意賬戶，然后從保存的備份中重新注冊(cè)這些設(shè)置，以確保在系統(tǒng)日志中不留痕跡地重新激活他們的控制權(quán)。

面對(duì)如此狡猾的攻擊手段，系統(tǒng)管理員們必須提高警惕。為了防止RID劫持攻擊的發(fā)生，建議系統(tǒng)管理員加強(qiáng)本地安全機(jī)構(gòu)（LSA）子系統(tǒng)服務(wù)的監(jiān)控，及時(shí)檢查登錄嘗試和密碼更改情況。同時(shí)，還應(yīng)嚴(yán)格限制對(duì)SAM注冊(cè)表的訪問和修改權(quán)限，防止未經(jīng)授權(quán)的更改發(fā)生。禁用Guest賬戶、限制PsExec和JuicyPotato等工具的執(zhí)行、以及使用多因素身份驗(yàn)證保護(hù)所有現(xiàn)有賬戶等措施也是必不可少的。

值得注意的是，盡管SYSTEM權(quán)限允許直接創(chuàng)建管理員賬戶，但在不同的安全設(shè)置下，這一操作可能會(huì)受到一定的限制。相比之下，提升普通賬戶的權(quán)限更加隱蔽且難以被檢測(cè)和阻止。因此，系統(tǒng)管理員們需要時(shí)刻保持警惕，加強(qiáng)對(duì)系統(tǒng)安全性的監(jiān)控和維護(hù)。

除了上述措施外，系統(tǒng)管理員還應(yīng)定期更新和升級(jí)系統(tǒng)補(bǔ)丁、加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)等工作，以確保系統(tǒng)的整體安全性。同時(shí)，對(duì)于發(fā)現(xiàn)的任何可疑行為或異常登錄嘗試，都應(yīng)立即進(jìn)行調(diào)查和處理。

網(wǎng)絡(luò)安全是一場永無止境的戰(zhàn)斗。隨著黑客攻擊手段的不斷升級(jí)和變化，系統(tǒng)管理員們也需要不斷更新自己的知識(shí)和技能，以應(yīng)對(duì)可能出現(xiàn)的各種挑戰(zhàn)和威脅。