近日，科技新聞界傳來一則關于網絡安全的新警報。據報道，黑客組織Andariel采用了一種名為RID劫持的技術手段，成功繞過了Windows 10和Windows 11系統的安全防線，將普通用戶賬戶偽裝成了擁有管理員權限的高級賬戶。

RID，全稱為相對標識符（Relative Identifier），是Windows系統中安全標識符（SID）的一部分。SID作為每個用戶賬戶的唯一“身份證”，在系統中扮演著至關重要的角色。而RID的值則直接關聯到賬戶的訪問級別，例如管理員賬戶的RID通常為“500”，來賓賬戶為“501”，普通用戶則為“1000”。

Andariel組織所實施的RID劫持攻擊，其核心在于篡改低權限賬戶的RID值，使其與管理員賬戶的RID相匹配。這樣一來，Windows系統便會錯誤地將這些低權限賬戶視為管理員賬戶，從而授予它們更高的訪問權限。然而，這一攻擊并非輕而易舉，攻擊者首先需要入侵系統并獲得SYSTEM權限，才能對安全賬戶管理器（SAM）注冊表進行操作。

據詳細了解，Andariel的攻擊流程相當復雜且狡猾。他們首先利用系統漏洞獲得SYSTEM權限，這是Windows上的最高權限級別。隨后，他們使用PsExec和JuicyPotato等工具啟動SYSTEM級別的命令提示符，實現了初始權限的提升。然而，SYSTEM權限雖然強大，但也有著諸多限制，如無法遠程訪問、無法與GUI應用程序交互、容易被檢測到等。因此，Andariel組織又采取了一系列措施來規避這些限制。

他們通過“net user”命令創建了一個隱藏的低權限本地用戶賬戶，這個賬戶在常規命令下無法被察覺，只能在SAM注冊表中找到。接下來，他們利用RID劫持技術，將這個隱藏賬戶的權限提升至管理員級別。之后，Andariel組織還將他們的賬戶添加到了遠程桌面用戶和管理員組中，進一步鞏固了他們的控制權。

為了掩蓋攻擊痕跡，Andariel組織還精心設計了撤退計劃。他們導出修改后的注冊表設置，刪除相關密鑰和惡意賬戶，然后從保存的備份中重新注冊這些設置，以確保在系統日志中不留痕跡地重新激活他們的控制權。

面對如此狡猾的攻擊手段，系統管理員們必須提高警惕。為了防止RID劫持攻擊的發生，建議系統管理員加強本地安全機構（LSA）子系統服務的監控，及時檢查登錄嘗試和密碼更改情況。同時，還應嚴格限制對SAM注冊表的訪問和修改權限，防止未經授權的更改發生。禁用Guest賬戶、限制PsExec和JuicyPotato等工具的執行、以及使用多因素身份驗證保護所有現有賬戶等措施也是必不可少的。

值得注意的是，盡管SYSTEM權限允許直接創建管理員賬戶，但在不同的安全設置下，這一操作可能會受到一定的限制。相比之下，提升普通賬戶的權限更加隱蔽且難以被檢測和阻止。因此，系統管理員們需要時刻保持警惕，加強對系統安全性的監控和維護。

除了上述措施外，系統管理員還應定期更新和升級系統補丁、加強網絡安全意識培訓等工作，以確保系統的整體安全性。同時，對于發現的任何可疑行為或異常登錄嘗試，都應立即進行調查和處理。

網絡安全是一場永無止境的戰斗。隨著黑客攻擊手段的不斷升級和變化，系統管理員們也需要不斷更新自己的知識和技能，以應對可能出現的各種挑戰和威脅。