Nueva técnica de hackeo en Windows convierte cuentas comunes en llaves maestras de administrador

El Centro de Inteligencia de Seguridad de AhnLab (ASEC) informó sobre la actividad del grupo Andariel, que utiliza el método RID Hijacking para llevar a cabo ataques en sistemas Windows. Esta técnica permite a los atacantes modificar los valores de RID (Identificador Relativo) de cuentas con bajos privilegios, convirtiéndolas en cuentas con permisos de administrador. Una característica destacada de este método es que la detección de los ataques es difícil para los sistemas de monitoreo, ya que las cuentas creadas se vuelven invisibles para la mayoría de las herramientas estándar.

¿Qué es el RID Hijacking?

RID Hijacking se basa en manipulaciones del registro de Windows. RID es un identificador único de cada cuenta en el sistema. Si un atacante cambia el RID de un usuario estándar, por ejemplo, una cuenta de invitado, al RID de un administrador, el sistema percibe esta cuenta como privilegiada. Los métodos principales de ataque incluyen:

• Uso de una cuenta existente;
• Activación de una cuenta de invitado;
• Creación de una nueva cuenta.

Para realizar los ataques, los atacantes utilizan la base de datos Security Account Manager (SAM), responsable de la gestión de cuentas. El acceso a SAM requiere privilegios de sistema, por lo que los atacantes primero elevan sus permisos utilizando herramientas como PsExec o JuicyPotato.

Etapas del ataque

1. Escalación de privilegios a SYSTEM

Para modificar el registro, los atacantes deben obtener acceso a nivel SYSTEM. Por ejemplo, la herramienta PsExec permite ejecutar comandos con privilegios elevados:

PsExec.exe -s -i cmd.exe

Tras ejecutar este comando, se inicia un proceso con permisos SYSTEM, otorgando a los atacantes la posibilidad de modificar archivos y registros críticos.

2. Creación de una cuenta

Los atacantes crean una nueva cuenta utilizando el comando net user. Si se añade un símbolo «$» al nombre de la cuenta, esta se vuelve oculta:

net user hidden_account$ password123 /add

Después, la cuenta se agrega a los grupos Administradores y Usuarios de Escritorio Remoto:

net localgroup Administrators hidden_account$ /add
net localgroup "Remote Desktop Users" hidden_account$ /add

3. Modificación del RID

En el registro de Windows, las cuentas se almacenan en la ruta:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

Cada cuenta tiene una clave F donde se almacena su RID. El RID es un dato de 4 bytes en formato little-endian dentro del rango 0x30–0x33. Los atacantes modifican estos datos para que el RID de la cuenta oculta coincida con el RID de un administrador.

Ejemplo de script de PowerShell para cambiar el RID:

$keyPath = "HKLM:\SAM\SAM\Domains\Account\Users\"
$newRID = [byte[]](0x01, 0x05, 0x00, 0x00) # RID de administrador
Set-ItemProperty -Path $keyPath -Name "F" -Value $newRID

4. Eliminación y restauración del registro

Para cubrir sus rastros, los atacantes exportan las claves modificadas del registro, eliminan la cuenta y la restablecen desde el archivo exportado:

reg export HKLM\SAM\SAM\Domains\Account\Users\names hidden_account.reg
reg delete HKLM\SAM\SAM\Domains\Account\Users\names
reg import hidden_account.reg

Archivos maliciosos

El grupo Andariel utiliza dos tipos de herramientas:

• Archivo malicioso propio. Esta herramienta está diseñada para realizar todas las etapas del ataque, incluyendo la creación de cuentas, modificación del RID y eliminación de rastros.
• Herramienta pública CreateHiddenAccount. Este programa utiliza la herramienta estándar de Windows regini para gestionar el registro. Ejemplo de archivo ini:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users [1 17]

Aquí, 1 otorga acceso a administradores y 17 a procesos del sistema.

Recomendaciones

• Restringir el acceso al registro y a las bases SAM mediante configuraciones específicas.
• Monitorear comandos ejecutados con privilegios SYSTEM utilizando sistemas SIEM.
• Utilizar soluciones de análisis de comportamiento (Behavior Analysis) para detectar anomalías.

RID Hijacking sigue siendo una amenaza peligrosa que requiere una mayor atención al monitoreo de privilegios y del registro.