Blockdit Logo (Mobile)
BAYCOMS
11 ก.พ. เวลา 04:05 • ไอที & แก็ดเจ็ต

แฮกเกอร์ใช้ RID เพื่อยึดระบบ Windows และสร้างบัญชี Admin อย่างแนบเนียน

กลุ่มแฮกเกอร์ Andariel ซึ่งมีความเชื่อมโยงกับเกาหลีเหนือ ได้ใช้เทคนิค Relative Identifier (RID) เพื่อลวงระบบ Windows ให้ยอมรับบัญชีที่มีสิทธิ์ต่ำเป็นบัญชีผู้ดูแลระบบ (Admin) โดยการแก้ไข RID ในระบบ ทำให้ผู้โจมตีสามารถแฝงตัวและสร้างบัญชีผู้ดูแลระบบได้
RID คืออะไร และแฮกเกอร์ใช้โจมตีอย่างไร?
Relative Identifier (RID) เป็นส่วนหนึ่งของ Security Identifier (SID) ในระบบปฏิบัติการ Windows ซึ่งใช้ในการแยกแยะสิทธิ์และการเข้าถึงของบัญชีผู้ใช้ต่าง ๆ ตัวเลข RID จะถูกกำหนดให้กับบัญชีผู้ใช้แต่ละบัญชี เช่น RID “500” สำหรับบัญชีผู้ดูแลระบบ (Administrator) หรือ “1000” สำหรับบัญชีผู้ใช้ทั่วไป (User) ดังนั้นการเข้าถึงและแก้ไข RID ทำให้แฮกเกอร์สามารถยกระดับบัญชีธรรมดาให้กลายเป็นบัญชีผู้ดูแลระบบได้
การโจมตี RID Hijacking เริ่มต้นด้วยการเจาะระบบเพื่อเข้าถึงระดับ SYSTEM ซึ่งเป็นสิทธิ์ที่สูงที่สุดในระบบ Windows หลังจากนั้นแฮกเกอร์จะใช้เครื่องมือโอเพนซอร์ส เช่น PsExec และ JuicyPotato เพื่อเปิดใช้งานพรอมต์คำสั่งที่มีสิทธิ์ SYSTEM ซึ่งทำให้สามารถเข้าถึงและทำการแก้ไขค่า RID ของบัญชีที่มีสิทธิ์ต่ำได้
เมื่อแฮกเกอร์สามารถเปลี่ยนค่า RID ของบัญชีผู้ใช้ให้ตรงกับ RID ของบัญชีผู้ดูแลระบบ Windows จะให้สิทธิ์ระดับสูงแก่บัญชีนั้น ทำให้แฮกเกอร์สามารถเข้าถึงทรัพยากรที่มีความสำคัญ หรือสร้างบัญชีผู้ดูแลระบบใหม่ได้
กลยุทธ์ที่กลุ่ม Andariel ใช้เพื่อยึดระบบ
การโจมตีของกลุ่ม Andariel เริ่มต้นด้วยการสร้างบัญชีแฝง โดยกลุ่มแฮกเกอร์สร้างบัญชี Local ที่มีสิทธิ์ต่ำเพื่อใช้ในการแฝงตัวและหลีกเลี่ยงการตรวจจับ โดยการเพิ่มอักขระ “$” ท้ายชื่อบัญชี ซึ่งทำให้บัญชีนี้ไม่แสดงในคำสั่ง “net user” และสามารถตรวจสอบได้เฉพาะใน SAM Registry เท่านั้น
หลังจากนั้น ผู้คุกคามจะทำการปรับ RID (Relative Identifier) ของบัญชีแฝงให้ตรงกับบัญชีผู้ดูแลระบบ (Admin) ของเป้าหมาย ซึ่งจะทำให้ระบบ Windows มอบสิทธิ์ระดับสูงสุดให้กับบัญชีแฝงนี้ จากนั้นพวกเขาจะลบร่องรอยของตนโดยการส่งออกการตั้งค่า Registry ที่ถูกแก้ไข ลบหลักฐานการเปลี่ยนแปลง และทำการสำรองข้อมูลเดิมเพื่อปกปิดการโจมตี
การโจมตี RID Hijacking แม้จะได้รับการเปิดเผยมาตั้งแต่ปี 2018 แต่ยังคงเป็นภัยคุกคามที่ยากต่อการตรวจจับ เนื่องจากบัญชีที่ถูกยกระดับสามารถแฝงตัวอยู่ในระบบได้อย่างแนบเนียน โดยไม่ปรากฏในบันทึกการทำงานหรือการตรวจสอบปกติ
วิธีป้องกัน:
1. ตรวจสอบและป้องกันการเข้าถึง SAM Registry โดยการตั้งค่าความปลอดภัยและควบคุมสิทธิ์ในการเข้าถึงเครื่องมือที่สามารถเข้าถึงและแก้ไข SAM Registry เช่น การใช้ Windows Defender หรือ Group Policy เพื่อล็อคการเข้าถึง
2. เปิดใช้งาน Local Security Authority (LSA) Subsystem Service เพื่อตรวจสอบการพยายามล็อกอินและการเปลี่ยนแปลงรหัสผ่าน รวมถึงการพยายามเข้าถึงหรือเปลี่ยนแปลงค่าใน SAM Registry
3. จำกัดการใช้งานเครื่องมือโอเพนซอร์สที่แฮกเกอร์มักใช้ในการโจมตี RID Hijacking เช่น PsExec และ JuicyPotato โดยการตั้งค่าความปลอดภัยเพื่อป้องกันการใช้งานเครื่องมือเหล่านี้ในระบบ
4. ปิดใช้งานบัญชี Guest และสร้างบัญชีผู้ใช้ที่มีสิทธิ์ต่ำให้มีความปลอดภัยอย่างเคร่งครัด โดยใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีที่มีสิทธิ์เข้าถึงทรัพยากรสำคัญ
5. ตรวจสอบและติดตามบันทึกกิจกรรม (Logs) ในระบบอย่างสม่ำเสมอ รวมถึงการมองหากิจกรรมที่ผิดปกติ เช่น การสร้างบัญชีผู้ใช้ใหม่ การเปลี่ยนแปลงใน SAM Registry หรือการใช้คำสั่ง “net user” ในลักษณะที่ผิดปกติ
6. ใช้ Multi-Factor Authentication (MFA) กับบัญชีทั้งหมด แม้แต่บัญชีที่มีสิทธิ์ต่ำ เพื่อเพิ่มชั้นการป้องกันจากการเข้าถึงที่ไม่ได้รับอนุญาต
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา