มีข่าวที่น่าสนใจเกี่ยวกับการโจมตีทางไซเบอร์ที่ใช้เทคนิค RID hijacking เพื่อสร้างบัญชีผู้ดูแลระบบที่ซ่อนอยู่ใน Windows! กลุ่มแฮกเกอร์จากเกาหลีเหนือได้ใช้เทคนิคนี้เพื่อหลอกให้ Windows มองว่าบัญชีที่มีสิทธิ์ต่ำเป็นบัญชีที่มีสิทธิ์ผู้ดูแลระบบ
เทคนิคนี้ทำงานโดยการแก้ไขค่า RID (Relative Identifier) ของบัญชีที่มีสิทธิ์ต่ำให้ตรงกับค่าของบัญชีผู้ดูแลระบบ ซึ่งทำให้ Windows มอบสิทธิ์ที่สูงขึ้นให้กับบัญชีนี้ อย่างไรก็ตาม การโจมตีนี้ต้องการการเข้าถึงรีจิสทรี SAM (Security Account Manager) ดังนั้นแฮกเกอร์ต้องเจาะระบบและได้รับสิทธิ์ SYSTEM ก่อน
กลุ่มแฮกเกอร์ Andariel ซึ่งเชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ ได้ใช้เทคนิคนี้ในการโจมตี โดยเริ่มจากการสร้างบัญชีผู้ใช้ที่มีสิทธิ์ต่ำและซ่อนอยู่ จากนั้นทำการ hijack RID เพื่อเพิ่มสิทธิ์เป็นผู้ดูแลระบบ บัญชีที่ซ่อนอยู่นี้จะไม่ปรากฏในคำสั่ง "net user" แต่สามารถพบได้ในรีจิสทรี SAM
เพื่อป้องกันการโจมตีแบบนี้ ผู้ดูแลระบบควรใช้ Local Security Authority (LSA) Subsystem Service เพื่อตรวจสอบการพยายามเข้าสู่ระบบและการเปลี่ยนรหัสผ่าน รวมถึงป้องกันการเข้าถึงและการเปลี่ยนแปลงรีจิสทรี SAM โดยไม่ได้รับอนุญาต นอกจากนี้ยังควรจำกัดการใช้งานเครื่องมือเช่น PsExec และ JuicyPotato และป้องกันบัญชีผู้ใช้ที่มีสิทธิ์ต่ำด้วยการยืนยันตัวตนหลายขั้นตอน
https://www.bleepingcomputer.com/news/security/hackers-use-windows-rid-hijacking-to-create-hidden-admin-account/
เทคนิคนี้ทำงานโดยการแก้ไขค่า RID (Relative Identifier) ของบัญชีที่มีสิทธิ์ต่ำให้ตรงกับค่าของบัญชีผู้ดูแลระบบ ซึ่งทำให้ Windows มอบสิทธิ์ที่สูงขึ้นให้กับบัญชีนี้ อย่างไรก็ตาม การโจมตีนี้ต้องการการเข้าถึงรีจิสทรี SAM (Security Account Manager) ดังนั้นแฮกเกอร์ต้องเจาะระบบและได้รับสิทธิ์ SYSTEM ก่อน
กลุ่มแฮกเกอร์ Andariel ซึ่งเชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ ได้ใช้เทคนิคนี้ในการโจมตี โดยเริ่มจากการสร้างบัญชีผู้ใช้ที่มีสิทธิ์ต่ำและซ่อนอยู่ จากนั้นทำการ hijack RID เพื่อเพิ่มสิทธิ์เป็นผู้ดูแลระบบ บัญชีที่ซ่อนอยู่นี้จะไม่ปรากฏในคำสั่ง "net user" แต่สามารถพบได้ในรีจิสทรี SAM
เพื่อป้องกันการโจมตีแบบนี้ ผู้ดูแลระบบควรใช้ Local Security Authority (LSA) Subsystem Service เพื่อตรวจสอบการพยายามเข้าสู่ระบบและการเปลี่ยนรหัสผ่าน รวมถึงป้องกันการเข้าถึงและการเปลี่ยนแปลงรีจิสทรี SAM โดยไม่ได้รับอนุญาต นอกจากนี้ยังควรจำกัดการใช้งานเครื่องมือเช่น PsExec และ JuicyPotato และป้องกันบัญชีผู้ใช้ที่มีสิทธิ์ต่ำด้วยการยืนยันตัวตนหลายขั้นตอน
https://www.bleepingcomputer.com/news/security/hackers-use-windows-rid-hijacking-to-create-hidden-admin-account/
มีข่าวที่น่าสนใจเกี่ยวกับการโจมตีทางไซเบอร์ที่ใช้เทคนิค RID hijacking เพื่อสร้างบัญชีผู้ดูแลระบบที่ซ่อนอยู่ใน Windows! กลุ่มแฮกเกอร์จากเกาหลีเหนือได้ใช้เทคนิคนี้เพื่อหลอกให้ Windows มองว่าบัญชีที่มีสิทธิ์ต่ำเป็นบัญชีที่มีสิทธิ์ผู้ดูแลระบบ
เทคนิคนี้ทำงานโดยการแก้ไขค่า RID (Relative Identifier) ของบัญชีที่มีสิทธิ์ต่ำให้ตรงกับค่าของบัญชีผู้ดูแลระบบ ซึ่งทำให้ Windows มอบสิทธิ์ที่สูงขึ้นให้กับบัญชีนี้ อย่างไรก็ตาม การโจมตีนี้ต้องการการเข้าถึงรีจิสทรี SAM (Security Account Manager) ดังนั้นแฮกเกอร์ต้องเจาะระบบและได้รับสิทธิ์ SYSTEM ก่อน
กลุ่มแฮกเกอร์ Andariel ซึ่งเชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ ได้ใช้เทคนิคนี้ในการโจมตี โดยเริ่มจากการสร้างบัญชีผู้ใช้ที่มีสิทธิ์ต่ำและซ่อนอยู่ จากนั้นทำการ hijack RID เพื่อเพิ่มสิทธิ์เป็นผู้ดูแลระบบ บัญชีที่ซ่อนอยู่นี้จะไม่ปรากฏในคำสั่ง "net user" แต่สามารถพบได้ในรีจิสทรี SAM
เพื่อป้องกันการโจมตีแบบนี้ ผู้ดูแลระบบควรใช้ Local Security Authority (LSA) Subsystem Service เพื่อตรวจสอบการพยายามเข้าสู่ระบบและการเปลี่ยนรหัสผ่าน รวมถึงป้องกันการเข้าถึงและการเปลี่ยนแปลงรีจิสทรี SAM โดยไม่ได้รับอนุญาต นอกจากนี้ยังควรจำกัดการใช้งานเครื่องมือเช่น PsExec และ JuicyPotato และป้องกันบัญชีผู้ใช้ที่มีสิทธิ์ต่ำด้วยการยืนยันตัวตนหลายขั้นตอน
https://www.bleepingcomputer.com/news/security/hackers-use-windows-rid-hijacking-to-create-hidden-admin-account/
0 ความคิดเห็น
0 การแบ่งปัน
134 มุมมอง
0 รีวิว
English