据科技媒体BleepingComputer报道,黑客组织Andariel于1月24日发布了一种新型攻击手段,通过RID(相对标识符)劫持技术欺骗Windows 10和Windows 11系统,将低权限账户伪装成管理员权限账户。这一攻击需要首先入侵系统并获得SYSTEM权限。
Andariel的攻击流程包括:首先利用漏洞获取SYSTEM权限,并使用PsExec和JuicyPotato等工具提升初始权限。随后,他们创建一个隐藏的低权限本地用户,并通过修改SAM注册表中的RID值将其权限提升至管理员级别。最终,攻击者将该账户添加到远程桌面用户和管理员组,以实现远程访问和持久控制。
为降低此类攻击风险,建议系统管理员加强本地安全机构(LSA)子系统服务的监控,防止未经授权的SAM注册表访问和更改。同时,限制PsExec、JuicyPotato等工具的使用,禁用Guest账户,并启用多因素身份验证。
免责声明:本文内容由开放的智能模型自动生成,仅供参考。
