Los investigadores de ciberseguridad en AhnLab han descubierto que un grupo de amenazas de Corea del Norte utiliza archivos maliciosos para secuestrar y otorgar acceso administrativo a cuentas de Windows de bajo privilegio.
Según los investigadores de ASEC, el Centro de Inteligencia de Seguridad de AhnLab, el grupo de piratería detrás del ataque es el grupo de amenazas «Anderiel», vinculado al Grupo de Hacker de Lázaro de Corea del Norte.
«El secuestro de RID es una técnica de ataque que implica modificar el valor de eliminación de una cuenta con bajos privilegios, como un usuario regular o una cuenta de invitado, para que coincida con el valor de eliminación de una cuenta con mayores privilegios (administrador). Modificando el valor de libra, los actores de amena escribió En una publicación de blog publicada el jueves.
En Windows, un identificador relativo (RID) es parte de un identificador de seguridad (SID), que distingue exclusivamente a cada usuario y grupo dentro de un dominio. Por ejemplo, una cuenta de administrador tendrá un valor eliminado de «500», «501» para cuentas de invitados, «512» para el grupo de administradores de dominio, y para usuarios regulares, el RID comenzará desde el valor «de 1000».
En un ataque de secuestro de Rid, los piratas informáticos cambian la eliminación de una cuenta de bajo privilegio al mismo valor que una cuenta de administrador. Como resultado, Windows otorga privilegios administrativos a la cuenta.
Sin embargo, para lograr esto, los atacantes necesitan acceso al Registro SAM (Manager de Cuenta de Seguridad), lo que requiere que ya tengan acceso a nivel de sistema a la máquina específica para la modificación.
Los atacantes generalmente usan herramientas como PSEXEC y JuicyPotato para intensificar sus privilegios y lanzar un símbolo del sistema a nivel de sistema.
Si bien el acceso al sistema es el privilegio más alto en Windows, tiene ciertas limitaciones: no permite el acceso remoto, no puede interactuar con las aplicaciones GUI, genera actividad ruidosa que se puede detectar fácilmente y no persiste después de un reinicio del sistema.
Para resolver estos problemas, Anderiel primero creó una cuenta de usuario local oculta y de bajo privilegio al agregar un carácter «$» a su nombre de usuario.
Esto hizo que la cuenta sea invisible en listados regulares pero aún accesible en el registro SAM. Luego, los atacantes llevaron a cabo el secuestro de RID para aumentar los privilegios de la cuenta al nivel del administrador.
Según los investigadores, Andariel agregó la cuenta modificada a los grupos de usuarios y administradores de escritorio remotos, dándoles más control sobre el sistema.
El grupo modificó el Registro SAM utilizando malware personalizado y una herramienta de código abierto para ejecutar el secuestro de RID.
Aunque el acceso al sistema podría permitir la creación directa de cuentas de administrador, este método es menos conspicuo, lo que dificulta la detección y prevenir.
Para evitar la detección, Andariel también exportó y respaldó la configuración de registro modificada, eliminó la cuenta Rogue y la restauró más tarde desde la copia de seguridad cuando sea necesario, pasando por alto los registros del sistema y haciendo que la detección sea aún más difícil.
Suggested read: [Solved] Cómo tener dos cuentas de Kik en un solo teléfono
Para reducir el riesgo de secuestro de RID, los administradores del sistema deben implementar medidas proactivas como:
- Use el servicio del subsistema de la Autoridad de Seguridad Local (LSA) para monitorear los intentos de inicio de sesión inusuales y los cambios de contraseña.
- Evite el acceso no autorizado al Registro SAM.
- Restringir el uso de herramientas como PSEXEC y JuicyPotato.
- Desactivar las cuentas de invitados.
- Hacer cumplir la autenticación multifactor (MFA) para todas las cuentas de los usuarios, incluidas las bajas privilegiadas.