‫ fars_sakha بلاگ

هکرها از ربودن RID ویندوز برای ایجاد حساب مدیریت مخفی استفاده می‌کنند

یک گروه هکری از تکنیکی به نام ربودن RID استفاده می‌کند که ویندوز را فریب می‌دهد تا یک حساب کاربری با امتیاز پایین را به عنوان حساب کاربری با مجوزهای سرپرست تلقی کند.

 

 

 

هکرها از یک فایل مخرب سفارشی و یک ابزار منبع باز برای حمله ربایی استفاده کردند. هر دو ابزار می‌توانند این حمله را انجام دهند، اما محققان شرکت امنیت سایبری کره‌جنوبی AhnLab می‌گویند که تفاوت‌هایی وجود دارد.

 

چگونه RID hijacking کار می‌کند

شناسه نسبی (RID) در ویندوز بخشی از شناسه امنیتی (SID) است، یک برچسب منحصر به فرد که به هر حساب کاربری اختصاص داده می‌شود تا بین آنها تمایز قائل شود.

 

RID می‌تواند مقادیری را دریافت کند که سطح دسترسی حساب را نشان می‌دهد، مانند «500» برای مدیران، «501» برای حساب‌های مهمان، «1000» برای کاربران عادی و «512» برای گروه سرپرستان دامنه.

 

ربودن RID زمانی اتفاق می‌افتد که مهاجمان RID یک حساب کاربری با امتیاز پایین را برای مطابقت با ارزش یک حساب مدیر تغییر می‌دهند و ویندوز به آن دسترسی بالاتری می‌دهد.

 

با این حال، انجام حمله مستلزم دسترسی به رجیستری SAM است، بنابراین هکرها باید ابتدا سیستم را نقض کرده و به SYSTEM دسترسی پیدا کنند.

 

 

 

 

 

 

 

آندریل حمله می‌کند

محققان ASEC، مرکز اطلاعات امنیتی AhnLab، این حمله را به گروه تهدید Andariel نسبت می‌دهند که با گروه هکر Lazarus کره‌شمالی مرتبط است.

 

حملات با دسترسی Andariel به SYSTEM روی هدف از طریق بهره‌برداری از یک آسیب‌پذیری آغاز می‌شود.

 

هکرها با استفاده از ابزارهایی مانند PsExec و JuicyPotato برای راه‌اندازی یک خط فرمان در سطح سیستم، به تشدید اولیه دست می‌یابند.

 

اگرچه دسترسی SYSTEM بالاترین سطح در ویندوز است، اما اجازه دسترسی از راه دور را نمی‌دهد، نمی‌تواند با برنامه‌های رابط کاربری گرافیکی تعامل داشته باشد، بسیار پر سر و صدا است و احتمالاً شناسایی می‌شود و نمی‌تواند بین راه‌اندازی مجدد سیستم باقی بماند.

 

برای رفع این مشکلات، Andariel ابتدا با استفاده از دستور «net user» و افزودن کاراکتر «$» در پایان، یک کاربر محلی پنهان و کم امتیاز ایجاد کرد.

 

با انجام این کار، مهاجم اطمینان حاصل کرد که حساب از طریق دستور "net user" قابل مشاهده نیست و فقط در رجیستری SAM قابل شناسایی است. سپس آنها ربودن RID را برای افزایش مجوزهای مدیریت انجام دادند.

 

 

 

 

 

به گفته محققان، Andariel حساب کاربری خود را به گروه کاربران و مدیران دسکتاپ از راه دور اضافه کرده است.

 

ربودن RID مورد نیاز برای این کار از طریق اصلاحات رجیستری مدیریت حساب امنیتی (SAM) امکان‌پذیر است از بدافزار سفارشی و یک ابزار متن باز برای انجام تغییرات استفاده می‌کند.

 

 

 

 

 

اگرچه دسترسی SYSTEM اجازه ایجاد مستقیم حساب مدیر را می‌دهد، بسته به تنظیمات امنیتی ممکن است محدودیت‌های خاصی اعمال شود. افزایش امتیازات حساب‌های معمولی بسیار پنهان‌تر و سخت‌تر است که شناسایی و متوقف شود.

 

Andariel در ادامه تلاش می‌کند تا مسیرهای خود را با صادر کردن تنظیمات رجیستری اصلاح‌ شده، حذف کلید و حساب سرکش‌ و سپس ثبت مجدد آن از یک نسخه پشتیبان ذخیره‌شده، پوشش دهد و امکان فعال‌سازی مجدد را بدون نمایش در گزارش‌های سیستم فراهم کند.

 

برای کاهش خطرات حملات ربودن RID، مدیران سیستم باید از سرویس زیرسیستم مرجع امنیت محلی (LSA) برای بررسی تلاش‌های ورود به سیستم و تغییرات رمز عبور و همچنین جلوگیری از دسترسی غیرمجاز و تغییرات در رجیستری SAM استفاده کنند.

 

همچنین توصیه می‌شود اجرای PsExec، JuicyPotato و ابزارهای مشابه را محدود کنید، حساب Guest را غیرفعال کنید و از تمام حساب‌های موجود، حتی با امتیاز پایین، با احراز هویت چند مرحله‌ای محافظت کنید.

 

شایان ذکر است که ربودن RID حداقل از سال 2018 شناخته شده است، زمانی که محقق امنیتی سباستین کاسترو حمله در DerbyCon 8 را به عنوان یک تکنیک پایدار در سیستم های ویندوز ارائه کرد.

 

منبع

bleepingcomputer

 

سرقت یک میلیارد رمز عبور توسط بدافزار Redline، Vidar و Raccoon

گزارش گذرواژه نقض شده Specops 2025 بیش از 1 میلیارد رمز عبور را نشان می‌دهد که توسط بدافزار در سال گذشته به سرقت رفته است و عملکردهای ضعیف، روند بدافزارها و شکاف‌های امنیتی را آشکار می‌کند.

محققان امنیت سایبری در Specops در حال ارائه یک زنگ هشدار جهانی در مورد یک مشکل مهم مرتبط با رمز عبور هستند: بیش از 1 میلیارد رمز عبور توسط بدافزار در سال گذشته به سرقت رفته است. طبق گزارش Specops Software Breached Password 2025 که پیش از انتشار آن در روز سه‌شنبه، میلیون‌ها رمز عبور دزدیده شده الزامات پیچیدگی استاندارد را برآورده کردند. این گزارش همچنین بر شیوع اطلاعات بدافزار دزدیده شده با بیش از یک میلیارد کشف در 12 ماه گذشته تاکید می‌کند.

 

یافته‌های کلیدی گزارش:

 

علیرغم رعایت الزامات پیچیدگی رایج (طول، حروف بزرگ، اعداد، نمادها)، 230 میلیون رمز عبور سرقت شده همچنان در خطر هستند.

رمزهای عبور ضعیف رایج مانند «123456» و «admin» همچنان سیستم‌ها را آزار می‌دهند و شکاف قابل توجهی را در آگاهی و آموزش کاربران نشان می‌دهند.

اصطلاحات پایه رایج مانند "qwerty"، "مهمان" و "دانشجو" اغلب به عنوان پایه رمز عبور استفاده می‌شوند.

Redline، Vidar و Raccoon Stealer به عنوان سه بدافزار برتر در سرقت اعتبار ظاهر شدند که پیچیدگی و تداوم این تهدیدها را نشان می‌دهند. این گونه‌های بدافزار پیچیده به‌طور فعال اعتبارنامه‌ها را از منابع مختلف، از جمله مرورگرهای وب، مشتریان ایمیل، و حتی مشتریان VPN، هدف قرار داده و سرقت می‌کنند. تجزیه‌و تحلیل دقیق Hackread.com از این بدافزارها را در اینجا بررسی کنید.

مدل «بدافزار به‌عنوان سرویس» که در آن مجرمان سایبری این ابزارها را اجاره می‌کنند، دسترسی و در دسترس بودن این بردار حمله قدرتمند را افزایش داده است.

این گزارش به مبارزه مداومی که کاربران و سازمان‌های ناآگاه در برخورد با شیوه‌های رمز عبور ضعیف با آن دست و پنجه نرم می‌کنند، اشاره می‌کند و کاربران نهایی با وجود آگاهی از خطرات، همچنان رمزهای عبور کوتاه و ضعیف ایجاد می‌کنند.

کاربران اغلب از رمزهای عبور یکسان یا کمی تغییر یافته در چندین حساب، از جمله خدمات کاری، شخصی و آنلاین استفاده می‌کنند، که این یک عمل پرخطر است زیرا استفاده مجدد از رمزهای عبور کاری در دستگاه‌های شخصی و پلت‌فرم‌های امن‌تر به طور قابل‌توجهی احتمال خطر را افزایش می‌دهد. یک رخنه در یک پلتفرم کمتر امن می‌تواند دسترسی به سیستم‌های حساس شرکتی، از جمله Active Directory و VPN‌ها را به خطر بیندازد.

علاوه بر این، اعتبارنامه‌های سرقت شده دسترسی مستقیم به داده‌های ارزشمند از جمله اطلاعات شخصی، سوابق مالی و اسرار شرکت را برای مهاجمان فراهم می‌کند. از این اعتبارنامه‌ها می‌توان برای راه‌اندازی حملات بیشتر مانند کمپین‌های فیشینگ و نقض‌های پیچیده‌تر استفاده کرد و مهاجمان را قادر می‌سازد تا دسترسی عمیق‌تری به سیستم‌های سازمانی داشته باشند.

 

«میزان رمزهای عبور دزدیده شده توسط بدافزارها باید برای سازمان‌ها نگران کننده باشد. حتی اگر خط‌مشی گذرواژه سازمان شما قوی باشد و با استانداردهای انطباق مطابقت داشته باشد، این امر از گذرواژه‌ها در برابر سرقت توسط بدافزار محافظت نمی‌کند

با در نظر گرفتن این پیامدهای خطرناک، کارشناسان امنیتی به سازمان‌ها توصیه می‌کنند که سیاست‌های رمز عبور قوی‌تری را اجرا کنند و به‌طور منظم Active Directory را برای گذرواژه‌های در معرض خطر برای اصلاح فوری اسکن کنند. آموزش کاربران در مورد رمزهای عبور ضعیف و به روز ماندن در مورد تهدیدات و آسیب‌پذیری‌ها برای دفاع در برابر حملات در حال ظهور ضروری است. در نهایت، احراز هویت چند عاملی (MFA) را برای اضافه کردن یک لایه امنیتی اضافی فراتر از رمزهای عبور پیاده‌سازی کنید.

منبع

hackread

fata.gov.ir/node/177252

استفاده بات‌نت‌ها از پیکربندی نادرست برای انتشار بدافزار

یک بات‌نت تازه کشف شده متشکل از 13000 دستگاه MikroTik از یک پیکربندی نادرست در سوابق سرور نام دامنه استفاده می‌کند تا با جعل کردن حدود 20000 دامنه وب، محافظت‌های ایمیل را دور بزند و بدافزار را ارائه دهد.

 

عامل تهدید از یک رکورد DNS پیکربندی نادرست برای چارچوب خط مشی فرستنده (SPF) استفاده می کند که برای فهرست کردن همه سرورهای مجاز برای ارسال ایمیل از طرف یک دامنه استفاده می‌شود.

 

رکورد SPF پیکربندی نادرست

به گفته شرکت امنیت DNS Infoblox، کمپین malspam در اواخر نوامبر 2024 فعال بود. برخی از ایمیل‌ها جعل هویت شرکت حمل‌ و نقل DHL Express و فاکتورهای جعلی حمل‌ونقل با بایگانی ZIP حاوی محموله مخرب را تحویل می‌دادند.

 

در فایل پیوست ZIP یک فایل جاوا اسکریپت وجود داشت که یک اسکریپت PowerShell را مونتاژ و اجرا می‌کرد. این اسکریپت ارتباطی با سرور فرمان و کنترل عامل تهدید (C2) در دامنه‌ای که قبلاً به هکرهای روسی مرتبط بود، برقرار می‌کند.

 

Infoblox توضیح می‌دهد: «سرصفحه‌های بسیاری از ایمیل‌های هرزنامه، مجموعه گسترده‌ای از دامنه‌ها و آدرس‌های IP سرور SMTP را نشان می‌دهند و ما متوجه شدیم که شبکه گسترده‌ای متشکل از حدود 13000 دستگاه MikroTik ربوده شده را کشف کرده‌ایم که همگی بخشی از یک بات‌نت بزرگ هستند.

 

Infoblox توضیح می دهد که رکوردهای SPF DNS برای حدود 20000 دامنه با گزینه بیش از حد مجاز "+all" پیکربندی شده است که به هر سروری اجازه می‌دهد از طرف آن دامنه‌ها ایمیل ارسال کند.

 

یک انتخاب مطمئن‌تر، استفاده از گزینه "-all" است که ارسال ایمیل به سرورهای مشخص شده توسط دامنه را محدود می‌کند.

 

 MikroTik یک بات‌نت دیگر را تامین می‌کند

روش مصالحه همچنان نامشخص است، اما Infoblox می‌گوید آنها «نسخه‌های مختلفی را تحت تأثیر قرار داده‌اند، از جمله نسخه‌های اخیر میان‌افزار [MikroTik]».

 

روترهای MikroTik به قدرتمند بودن معروف هستند و عوامل تهدید آنها را هدف قرار می‌دهند تا بات نت‌هایی ایجاد کنند که قادر به حملات بسیار قدرتمند هستند.

 

تابستان گذشته، ارائه‌ دهنده خدمات ابری OVHcloud، بات‌نتی از دستگاه‌های MikroTik به خطر افتاده را مقصر حمله انکار خدمات گسترده‌ای دانست که به رکورد 840میلیون بسته در ثانیه رسید.

 

علی‌رغم ترغیب صاحبان دستگاه‌های MikroTik برای به‌روزرسانی سیستم‌ها، بسیاری از روترها به دلیل نرخ وصله بسیار پایین برای مدت طولانی آسیب‌پذیر هستند.

 

بات‌نت در این مورد، دستگاه‌ها را به‌عنوان پراکسی‌های SOCKS4 برای راه‌اندازی حملات DDoS، ارسال ایمیل‌های فیشینگ، استخراج داده‌ها و به طور کلی کمک به پنهان کردن منشاء ترافیک مخرب پیکربندی کرد.

 

Infoblox می‌گوید: «اگرچه بات‌نت متشکل از 13000 دستگاه است، پیکربندی آن‌ها به‌عنوان پراکسی‌های SOCKS به ده‌ها یا حتی صدها هزار دستگاه در معرض خطر اجازه می‌دهد تا از آن‌ها برای دسترسی به شبکه استفاده کنند، که به طور قابل‌توجهی مقیاس بالقوه و تأثیر عملیات بات‌نت را تقویت می‌کند».

 

به دارندگان دستگاه MikroTik توصیه می‌شود که آخرین به روز‌رسانی سیستم عامل را برای مدل خود اعمال کنند، اعتبار حساب کاربری پیش فرض مدیریت را تغییر دهند و در صورت عدم نیاز، دسترسی از راه دور به کنترل پنل‌ها را ببندند.

منبع

bleepingcomputer

بایگانی

همیاران سایبری – تمام حقوق محفوظ است