企業(yè)的活動(dòng)目錄(AD)管理員們應(yīng)該對(duì)特權(quán)用戶的異常行為多加注意了。日前一家總部位于倫敦的跨國(guó)公司遭遇了網(wǎng)絡(luò)間諜攻擊，其中就有能夠繞過AD單因子身份驗(yàn)證的惡意軟件的身影。

[[126505]]

黑客通過遠(yuǎn)程訪問木馬侵入那家公司的網(wǎng)絡(luò)，植入名為“萬能鑰匙”的惡意軟件取得合法的內(nèi)部憑證，進(jìn)而在不引發(fā)警報(bào)的情況下竊取公司數(shù)據(jù)并偷渡到外部網(wǎng)絡(luò)。

戴爾網(wǎng)絡(luò)安全公司SecureWorks的研究人員不會(huì)披露數(shù)據(jù)失竊公司的信息，也不會(huì)提供任何有關(guān)攻擊者身份和位置的暗示。他們只表示：這不是一次網(wǎng)絡(luò)犯罪行動(dòng)，失竊文件中有部分是環(huán)太平洋地區(qū)有關(guān)組織感興趣的。

SecureWorks技術(shù)主管Don Smith說，萬能鑰匙被有意設(shè)計(jì)為不長(zhǎng)久駐留主機(jī)。它作為內(nèi)存補(bǔ)丁安裝在AD域控制器上，域控重啟則失效。而實(shí)際上，AD域控制器，比如此次遭受攻擊的那幾臺(tái)，一般是不經(jīng)常重啟的。

“這不是攻擊者的失誤。那些人有實(shí)力把程序?qū)懗砷L(zhǎng)期駐留的類型。不長(zhǎng)期駐留正表明了此次行動(dòng)的隱秘本質(zhì)。若要使程序在主機(jī)重啟后隨之啟動(dòng)，勢(shì)必要在注冊(cè)表或其他地方留下痕跡。只進(jìn)駐內(nèi)存，重啟即失效的做法更加隱秘，可以最小化他們的攻擊痕跡。他們?cè)诰W(wǎng)絡(luò)中其他地方留有后門，只在有需要的時(shí)候登門入戶。”

擁有AD訪問權(quán)，黑客就能取得賬戶密碼組合，并利用這些憑證以合法用戶的身份遠(yuǎn)程實(shí)施余下的攻擊步驟。在上面提到的倫敦公司的例子中，他們侵入了只使用口令字對(duì)網(wǎng)頁郵件和VPN遠(yuǎn)程登錄進(jìn)行身份驗(yàn)證的網(wǎng)絡(luò)。一旦進(jìn)入內(nèi)部網(wǎng)絡(luò)，就能利用從關(guān)鍵服務(wù)器、管理員工作站、域控上竊取的憑證將萬能鑰匙散布到此網(wǎng)絡(luò)各處。

SecureWorks于本周發(fā)布了一份報(bào)告，其中列出了大量攻擊指示器和YARA惡意軟件簽名。很多文件名也與萬能鑰匙有關(guān)，其中一個(gè)甚至喻示2012年編譯的老版萬能鑰匙變種的存在。

攻擊者一旦登錄網(wǎng)絡(luò)，便會(huì)上傳萬能鑰匙的動(dòng)態(tài)庫文件(DLL)到一臺(tái)已感染主機(jī)上，運(yùn)用一份偷取的管理員憑證列表嘗試訪問域控管理員共享。若是憑證全都無效，則轉(zhuǎn)而到另一臺(tái)服務(wù)器、域管理員工作站或目標(biāo)域控主機(jī)上部署口令竊取工具，從內(nèi)存中抽取管理員密碼。

萬能鑰匙被有意設(shè)計(jì)為不長(zhǎng)久駐留主機(jī)；它作為內(nèi)存補(bǔ)丁安裝在AD域控制器上。

缺乏持久性并非萬能鑰匙顯露出來的唯一弱點(diǎn)。它還會(huì)導(dǎo)致地區(qū)辦事處的AD域控重寫問題，而重寫就要求域控制器重啟。頻繁重啟就是攻擊者在反復(fù)植入萬能鑰匙的跡象，同時(shí)還會(huì)伴隨有PsExec或任務(wù)管理器進(jìn)程的出現(xiàn)，這些都是需要注意的特權(quán)用戶異常行為。

Smith表示：“一切都是從收集口令字開始。一旦黑客哈希注入成功，他們就可以在整個(gè)網(wǎng)絡(luò)中漫步，使用任意用戶名和口令巡視其中每一臺(tái)主機(jī)。壞家伙們利用遠(yuǎn)程訪問隨意通過身份驗(yàn)證。我認(rèn)為這顯示出此類攻擊是一種長(zhǎng)期的網(wǎng)絡(luò)間諜活動(dòng)。受害組織的網(wǎng)絡(luò)里有太多的東西可尋，他們想盡量保持低調(diào)以避免被發(fā)現(xiàn)，因而所有的間諜活動(dòng)都以普通用戶的名義執(zhí)行。防御一方的一大挑戰(zhàn)就是需要留心異常的用戶行為，而這一點(diǎn)并不容易做到。”

原文地址：http://www.aqniu.com/threat-alert/6379.html