Win10/Win11最新威胁曝光：RID劫持攻击可一步提升权限至管理员级别，潜在掌控你的PC-大浪资讯

Win10/Win11最新威胁曝光：RID劫持攻击可一步提升权限至管理员级别，潜在掌控你的PC

警惕！新型RID劫持攻击威胁升级，你的PC或将被潜在掌控

　　 1月25日消息，科技媒体bleepingcomputer昨日（1月24日）发布文章，指出黑客组织Andariel采用RID劫持技术，诱骗Windows10和Windows11系统，将低权限账户误认为是管理员权限账户。

　　 注：Relative Identifier（RID）即相对标识符，它在Windows系统中的安全标识符（SID）体系中扮演着重要角色。SID是每个用户账户独有的身份标志。这一机制确保了每个用户的账户信息能够被系统精准识别和管理，从而增强了系统的安全性与稳定性。在多用户环境下，这种精确的身份验证方式对于防止非法访问和保护用户隐私至关重要。SID与RID的结合使用不仅提高了系统的管理效率，还为复杂的企业网络环境提供了强有力的支持。 通过观察这一技术细节，我们可以发现，微软在设计操作系统时，对用户信息安全的重视程度。这种细致入微的设计思路不仅提升了用户体验，也进一步巩固了其在企业级市场的领先地位。随着网络安全威胁日益严峻，这样的底层安全机制显得尤为重要。未来，如何继续优化这些基础架构，以应对不断变化的安全挑战，将是各大操作系统提供商需要持续关注的重点。

　　 RID的值确实可以用来指示账户的访问级别。比如，管理员账户通常被设定为“500”，而来宾账户则为“501”。普通用户的RID值一般从“1000”开始。对于域管理员组，其RID值通常为“512”。这种设置方式有助于系统管理和安全控制，确保不同级别的用户只能访问他们被授权的信息和功能。这样的设计虽然在一定程度上简化了权限管理，但也需要谨慎处理，以防止权限配置错误导致的安全漏洞。因此，在日常管理和维护过程中，定期审查和更新这些设置是非常必要的。

　　 所谓的RID劫持是指攻击者通过修改低权限账户的相对标识符（RID）来使其与管理员账户的RID值相匹配，从而使得Windows系统误以为该账户具有更高的权限，并赋予其相应的访问权限。然而，实施这种攻击的前提是能够访问系统的安全账号管理（SAM）数据库，这通常意味着攻击者已经成功侵入了系统并获得了SYSTEM级别的权限。 这一安全漏洞揭示了当前操作系统在权限控制上的潜在缺陷。尽管微软和其他软件开发商一直在努力提高系统的安全性，但此类攻击手段依然表明，攻击者可以通过利用特定的系统弱点来绕过常规的安全措施。这也提醒我们，在设计和使用操作系统时，必须更加重视细节，确保每一个可能被利用的漏洞都能得到有效的防范。同时，对于用户而言，定期更新系统补丁、加强账户安全管理以及提高自身的网络安全意识同样是防止此类攻击的关键措施。

　　 博文详细介绍了 Andariel 的攻击流程如下：

　　 Andariel 利用漏洞，获得目标系统上的 SYSTEM 权限。

　　 他们利用PsExec和JuicyPotato这样的工具来启动具有SYSTEM权限的命令提示符，从而实现初步的权限提升。这种行为不仅展示了攻击者对于Windows系统内部机制的深刻理解，也凸显了安全防护措施在某些关键环节上的不足。如今的网络环境复杂多变，安全防御体系需要不断升级，以应对日益精进的黑客技术。此外，加强员工的安全意识培训，提高对这类攻击手段的认识，也是防范此类威胁的重要一环。只有通过技术和管理双管齐下，才能更有效地保护信息系统免受侵害。

　　 虽然 SYSTEM 权限是 Windows 上的最高权限，但它不允许远程访问，无法与 GUI 应用程序交互，容易被检测到，并且无法在系统重启后保持。为了解决这些问题，Andariel 首先使用“net user”命令并在末尾添加“'”字符来创建一个隐藏的低权限本地用户。

　　 这样，攻击者确保该账户无法通过“net user”命令进行查看，但可以在SAM注册表中识别。随后，他们实施RID劫持以将权限提升至管理员级别。

　　 Andariel 将他们的账户添加到远程桌面用户和管理员组。

　　 通过修改Windows系统中的安全账户管理器（SAM）注册表，攻击者能够实施所需的安全标识符（SID）劫持。这种手段通常被黑客利用，他们借助特定的恶意软件和一些开源工具来进行此类操作。尽管这在技术层面上确实可行，但这样的行为无疑增加了系统的安全隐患，并可能被不法分子用来进行更深层次的网络攻击。因此，对于企业和个人用户来说，定期检查和维护系统的安全性显得尤为重要，同时应避免随意下载和安装不明来源的软件，以防止潜在的风险。

　　 尽管SYSTEM权限能够直接创建管理员账户，但由于安全设置的不同，仍可能存在一些限制。相比之下，悄悄提升普通账户的权限更为隐蔽，也更难以被发现和阻止。

　　 Andariel试图通过导出修改后的注册表设置、删除相关密钥和恶意账户，随后利用保存的备份重新导入，以此来隐藏其行踪，并确保不会在系统日志中留下痕迹，从而达到重新激活的目的。

　　 为了降低RID劫持攻击的风险，系统管理员应利用本地安全机构（LSA）子系统服务来核查登录请求和密码更新，同时阻止对SAM注册表的非法访问与修改。此外，建议限制PsExec、JuicyPotato等工具的使用，停用Guest账户，并通过多因素认证增强所有现有账户的安全性。