Windows : la technique du RID hijacking utilisée par les pirates pour créer un compte admin caché !
Le groupe de pirates nord-coréen Andariel, affilié à Lazarus, exploite une technique appelée RID hijacking pour compromettre discrètement les machines Windows. Faisons le point sur cette menace potentielle.
Les chercheurs en cybersécurité sud-coréens de chez AhnLab ont fait la découverte de cette activité malveillante orchestrée par les membres du groupe Andariel. La méthode dite du RID hijacking, déjà connue depuis 2018, permet de transformer un compte Windows à faibles privilèges (utilisateur standard) en un compte administrateur. Un nouveau rapport a été publié pour présenter cette technique.
Qu’est-ce que le RID hijacking ?
Le RID (Relative Identifier) est une partie de l’identifiant de sécurité (SID) attribué aux comptes Windows, indiquant leur niveau d’accès. Par exemple :
- 500 : Administrateur
- 501 : Invité
- 1000 et suivants : Utilisateurs standards
- 512 : Administrateurs du domaine
Nous en avions parlé dans cet article : À la découverte des SID sous Windows
La technique de RID hijacking consiste à modifier le RID d’un compte à faibles privilèges pour le faire passer pour un administrateur. Une fois modifié, Windows attribue au compte des droits d’administration, même s'il s'agissait à la base d'un compte utilisateur standard.
Une technique bien rodée
Pour mener à bien cette attaque, les pirates doivent d’abord accéder à la base SAM de Windows par l'intermédiaire du Registre. Cette opération nécessite un accès SYSTEM au préalable, ce qui est le plus au niveau de privilèges sur Windows. Le groupe de pirates Andariel utilise des outils comme PsExec et JuicyPotato pour atteindre ce niveau de privilège, malgré ses limitations (pas d’accès distant, faible persistance, détection aisée).
Ainsi, leur attaque se déroule en plusieurs étapes :
- Création d’un compte masqué : ils génèrent un compte local à faibles privilèges, dissimulé grâce au caractère "$" (ce qui le rend visible uniquement dans le Registre, car même la commande "net user" ne le montre pas).
- Modification du RID : le RID de ce compte est modifié pour lui attribuer les droits d’un administrateur.
- Effacement des traces : pour éviter d'être détecté, les cybercriminels exportent les paramètres modifiés, suppriment les traces du compte dans les journaux, puis réactivent le compte. Pour cela, ils utilisent l'outil "reg" présent nativement sur Windows.
Pour que cet accès soit persistant et qu'ils disposent d'un niveau de privilèges élevé sur la machine, ce compte est ajouté aux groupes Administrateurs et Utilisateurs Bureau à distance. Tout au long de cette opération, les pirates s'appuient sur un outil qu'ils ont eux-mêmes créé, ainsi qu'un outil open source.
Cet ensemble de manipulation vise à créer un compte administrateur persistant sur les machines, tout en étant le plus discret possible, et en laissant le minimum de traces. Pour se protéger de ces attaques, il convient de désactiver les comptes invités, de bloquer les outils comme PsExec et JuicyPotato (d'autant plus si vous n'en faites pas l'usage) et de surveiller les modifications dans la base SAM.
