企業的活動目錄(AD)管理員們應該對特權用戶的異常行為多加注意了。日前一家總部位于倫敦的跨國公司遭遇了網絡間諜攻擊,其中就有能夠繞過AD單因子身份驗證的惡意軟件的身影。
黑客通過遠程訪問木馬侵入那家公司的網絡,植入名為“萬能鑰匙”的惡意軟件取得合法的內部憑證,進而在不引發警報的情況下竊取公司數據并偷渡到外部網絡。
戴爾網絡安全公司SecureWorks的研究人員不會披露數據失竊公司的信息,也不會提供任何有關攻擊者身份和位置的暗示。他們只表示:這不是一次網絡犯罪行動,失竊文件中有部分是環太平洋地區有關組織感興趣的。
SecureWorks技術主管Don Smith說,萬能鑰匙被有意設計為不長久駐留主機。它作為內存補丁安裝在AD域控制器上,域控重啟則失效。而實際上,AD域控制器,比如此次遭受攻擊的那幾臺,一般是不經常重啟的。
“這不是攻擊者的失誤。那些人有實力把程序寫成長期駐留的類型。不長期駐留正表明了此次行動的隱秘本質。若要使程序在主機重啟后隨之啟動,勢必要在注冊表或其他地方留下痕跡。只進駐內存,重啟即失效的做法更加隱秘,可以最小化他們的攻擊痕跡。他們在網絡中其他地方留有后門,只在有需要的時候登門入戶。”
擁有AD訪問權,黑客就能取得賬戶密碼組合,并利用這些憑證以合法用戶的身份遠程實施余下的攻擊步驟。在上面提到的倫敦公司的例子中,他們侵入了只使用口令字對網頁郵件和VPN遠程登錄進行身份驗證的網絡。一旦進入內部網絡,就能利用從關鍵服務器、管理員工作站、域控上竊取的憑證將萬能鑰匙散布到此網絡各處。
SecureWorks于本周發布了一份報告,其中列出了大量攻擊指示器和YARA惡意軟件簽名。很多文件名也與萬能鑰匙有關,其中一個甚至喻示2012年編譯的老版萬能鑰匙變種的存在。
攻擊者一旦登錄網絡,便會上傳萬能鑰匙的動態庫文件(DLL)到一臺已感染主機上,運用一份偷取的管理員憑證列表嘗試訪問域控管理員共享。若是憑證全都無效,則轉而到另一臺服務器、域管理員工作站或目標域控主機上部署口令竊取工具,從內存中抽取管理員密碼。
萬能鑰匙被有意設計為不長久駐留主機;它作為內存補丁安裝在AD域控制器上。
缺乏持久性并非萬能鑰匙顯露出來的唯一弱點。它還會導致地區辦事處的AD域控重寫問題,而重寫就要求域控制器重啟。頻繁重啟就是攻擊者在反復植入萬能鑰匙的跡象,同時還會伴隨有PsExec或任務管理器進程的出現,這些都是需要注意的特權用戶異常行為。
Smith表示:“一切都是從收集口令字開始。一旦黑客哈希注入成功,他們就可以在整個網絡中漫步,使用任意用戶名和口令巡視其中每一臺主機。壞家伙們利用遠程訪問隨意通過身份驗證。我認為這顯示出此類攻擊是一種長期的網絡間諜活動。受害組織的網絡里有太多的東西可尋,他們想盡量保持低調以避免被發現,因而所有的間諜活動都以普通用戶的名義執行。防御一方的一大挑戰就是需要留心異常的用戶行為,而這一點并不容易做到。”
京公網安備 11010502049343號