안랩의 사이버보안 연구원들은 북한의 위협 그룹이 악성 파일을 사용해 RID를 하이재킹하고 권한이 낮은 Windows 계정에 관리자 액세스 권한을 부여한다는 사실을 발견했습니다.
AhnLab의 보안 인텔리전스 센터인 ASEC 연구원에 따르면, 이번 공격의 배후에 있는 해킹 그룹은 북한의 해커 그룹인 라자루스와 연계된 '안다리엘' 위협 그룹입니다.
"RID 하이재킹은 일반 사용자나 게스트 계정과 같이 권한이 낮은 계정의 RID 값을 권한이 높은 계정(관리자)의 RID 값과 일치하도록 수정하는 공격 기법입니다. RID 값을 수정함으로써 위협 행위자는 시스템을 속여 해당 계정을 관리자 권한이 있는 것으로 취급할 수 있습니다." AhnLab은 목요일에 게시된 블로그 게시물에 이렇게 적었습니다.
Windows에서 상대 식별자(RID)는 보안 식별자(SID)의 일부로, 도메인 내의 각 사용자와 그룹을 독점적으로 구별합니다. 예를 들어, 관리자 계정은 RID 값이 "500"이고, 게스트 계정은 "501", 도메인 관리자 그룹은 "512"이며, 일반 사용자의 경우 RID는 "1000" 값에서 시작합니다.
RID 하이재킹 공격에서 해커는 권한이 낮은 계정의 RID를 관리자 계정과 동일한 값으로 변경합니다. 그 결과 Windows는 해당 계정에 관리자 권한을 부여합니다.
그러나 이를 실행하려면 공격자는 SAM(보안 계정 관리자) 레지스트리에 액세스해야 하며, 이를 위해서는 수정을 위해 대상 시스템에 대한 SYSTEM 수준의 액세스 권한이 필요합니다.
공격자는 일반적으로 PsExec 및 JuicyPotato와 같은 도구를 사용하여 권한을 확대하고 SYSTEM 수준의 명령 프롬프트를 실행합니다.
SYSTEM 액세스는 Windows에서 가장 높은 권한이지만 몇 가지 제한이 있습니다. 원격 액세스를 허용하지 않고 GUI 앱과 상호 작용할 수 없으며 쉽게 감지할 수 있는 시끄러운 활동을 생성하며 시스템을 재부팅한 후 지속되지 않습니다.
이러한 문제를 해결하기 위해 Andariel은 먼저 사용자 이름에 "$" 문자를 추가하여 숨겨진 낮은 권한의 로컬 사용자 계정을 만들었습니다.
이로 인해 계정이 일반 목록에서는 보이지 않지만 SAM 레지스트리에서는 여전히 액세스할 수 있었습니다. 그런 다음 공격자는 RID 하이재킹을 수행하여 계정의 권한을 관리자 수준으로 상승시켰습니다.
연구원들에 따르면, 안다리엘은 수정된 계정을 원격 데스크톱 사용자 및 관리자 그룹에 추가하여 시스템을 더 효과적으로 제어할 수 있게 됐습니다.
이 그룹은 맞춤형 맬웨어와 오픈소스 도구를 사용하여 SAM 레지스트리를 조정해 RID 하이재킹을 실행했습니다.
SYSTEM 접근을 통해 관리자 계정을 직접 생성할 수 있지만 이 방법은 눈에 잘 띄지 않아 감지하고 예방하기 어렵습니다.
감지를 피하기 위해 Andariel은 수정된 레지스트리 설정을 내보내고 백업했으며, 악성 계정을 삭제하고 필요할 때 백업에서 나중에 복원하여 시스템 로그를 우회하고 감지를 더욱 어렵게 만들었습니다.
RID 하이재킹 위험을 줄이려면 시스템 관리자는 다음과 같은 사전 조치를 구현해야 합니다.
- LSA(로컬 보안 기관) 하위 시스템 서비스를 사용하여 비정상적인 로그인 시도와 비밀번호 변경을 모니터링합니다.
- SAM 레지스트리에 대한 무단 접근을 방지합니다.
- PsExec 및 JuicyPotato와 같은 도구의 사용을 제한합니다.
- 게스트 계정을 비활성화합니다.
- 권한이 낮은 사용자 계정을 포함하여 모든 사용자 계정에 다중 요소 인증(MFA)을 적용합니다.
*참고한 원본 글: https://www.techworm.net/2025/01/hacker-rid-hijacking-create-admin-accounts-windows.html
댓글