“万能钥匙”开启网络谍报秘门
企业的活动目录(AD)管理员们应该对特权用户的异常行为多加注意了。日前一家总部位于伦敦的跨国公司遭遇了网络间谍攻击,其中就有能够绕过AD单因子身份验证的恶意软件的身影。
黑客通过远程访问木马侵入那家公司的网络,植入名为“万能钥匙”的恶意软件取得合法的内部凭证,进而在不引发警报的情况下窃取公司数据并偷渡到外部网络。
戴尔网络安全公司SecureWorks的研究人员不会披露数据失窃公司的信息,也不会提供任何有关攻击者身份和位置的暗示。他们只表示:这不是一次网络犯罪行动,失窃文件中有部分是环太平洋地区有关组织感兴趣的。
SecureWorks技术主管Don Smith说,万能钥匙被有意设计为不长久驻留主机。它作为内存补丁安装在AD域控制器上,域控重启则失效。而实际上,AD域控制器,比如此次遭受攻击的那几台,一般是不经常重启的。
“这不是攻击者的失误。那些人有实力把程序写成长期驻留的类型。不长期驻留正表明了此次行动的隐秘本质。若要使程序在主机重启后随之启动,势必要在注册表或其他地方留下痕迹。只进驻内存,重启即失效的做法更加隐秘,可以最小化他们的攻击痕迹。他们在网络中其他地方留有后门,只在有需要的时候登门入户。”
拥有AD访问权,黑客就能取得账户密码组合,并利用这些凭证以合法用户的身份远程实施余下的攻击步骤。在上面提到的伦敦公司的例子中,他们侵入了只使用口令字对网页邮件和VPN远程登录进行身份验证的网络。一旦进入内部网络,就能利用从关键服务器、管理员工作站、域控上窃取的凭证将万能钥匙散布到此网络各处。
SecureWorks于本周发布了一份报告,其中列出了大量攻击指示器和YARA恶意软件签名。很多文件名也与万能钥匙有关,其中一个甚至喻示2012年编译的老版万能钥匙变种的存在。
攻击者一旦登录网络,便会上传万能钥匙的动态库文件(DLL)到一台已感染主机上,运用一份偷取的管理员凭证列表尝试访问域控管理员共享。若是凭证全都无效,则转而到另一台服务器、域管理员工作站或目标域控主机上部署口令窃取工具,从内存中抽取管理员密码。
万能钥匙被有意设计为不长久驻留主机;它作为内存补丁安装在AD域控制器上。
缺乏持久性并非万能钥匙显露出来的唯一弱点。它还会导致地区办事处的AD域控重写问题,而重写就要求域控制器重启。频繁重启就是攻击者在反复植入万能钥匙的迹象,同时还会伴随有PsExec或任务管理器进程的出现,这些都是需要注意的特权用户异常行为。
Smith表示:“一切都是从收集口令字开始。一旦黑客哈希注入成功,他们就可以在整个网络中漫步,使用任意用户名和口令巡视其中每一台主机。坏家伙们利用远程访问随意通过身份验证。我认为这显示出此类攻击是一种长期的网络间谍活动。受害组织的网络里有太多的东西可寻,他们想尽量保持低调以避免被发现,因而所有的间谍活动都以普通用户的名义执行。防御一方的一大挑战就是需要留心异常的用户行为,而这一点并不容易做到。”
【下一篇】CVE-2014-8272漏洞分析:戴尔(Dell)远程控制卡脆弱的Session-ID机制