企业的活动目录(AD)管理员们应该对特权用户的异常行为多加注意了。日前一家总部位于伦敦的跨国公司遭遇了网络间谍攻击,其中就有能够绕过AD单因子身份验证的恶意软件的身影。
[[126505]]
黑客通过远程访问木马侵入那家公司的网络,植入名为“万能钥匙”的恶意软件取得合法的内部凭证,进而在不引发警报的情况下窃取公司数据并偷渡到外部网络。
戴尔网络安全公司SecureWorks的研究人员不会披露数据失窃公司的信息,也不会提供任何有关攻击者身份和位置的暗示。他们只表示:这不是一次网络犯罪行动,失窃文件中有部分是环太平洋地区有关组织感兴趣的。
SecureWorks技术主管Don Smith说,万能钥匙被有意设计为不长久驻留主机。它作为内存补丁安装在AD域控制器上,域控重启则失效。而实际上,AD域控制器,比如此次遭受攻击的那几台,一般是不经常重启的。
“这不是攻击者的失误。那些人有实力把程序写成长期驻留的类型。不长期驻留正表明了此次行动的隐秘本质。若要使程序在主机重启后随之启动,势必要在注册表或其他地方留下痕迹。只进驻内存,重启即失效的做法更加隐秘,可以最小化他们的攻击痕迹。他们在网络中其他地方留有后门,只在有需要的时候登门入户。”
拥有AD访问权,黑客就能取得账户密码组合,并利用这些凭证以合法用户的身份远程实施余下的攻击步骤。在上面提到的伦敦公司的例子中,他们侵入了只使用口令字对网页邮件和科学远程登录进行身份验证的网络。一旦进入内部网络,就能利用从关键服务器、管理员工作站、域控上窃取的凭证将万能钥匙散布到此网络各处。
SecureWorks于本周发布了一份报告,其中列出了大量攻击指示器和YARA恶意软件签名。很多文件名也与万能钥匙有关,其中一个甚至喻示2012年编译的老版万能钥匙变种的存在。
攻击者一旦登录网络,便会上传万能钥匙的动态库文件(DLL)到一台已感染主机上,运用一份偷取的管理员凭证列表尝试访问域控管理员共享。若是凭证全都无效,则转而到另一台服务器、域管理员工作站或目标域控主机上部署口令窃取工具,从内存中抽取管理员密码。
万能钥匙被有意设计为不长久驻留主机;它作为内存补丁安装在AD域控制器上。
缺乏持久性并非万能钥匙显露出来的唯一弱点。它还会导致地区办事处的AD域控重写问题,而重写就要求域控制器重启。频繁重启就是攻击者在反复植入万能钥匙的迹象,同时还会伴随有PsExec或任务管理器进程的出现,这些都是需要注意的特权用户异常行为。
Smith表示:“一切都是从收集口令字开始。一旦黑客哈希注入成功,他们就可以在整个网络中漫步,使用任意用户名和口令巡视其中每一台主机。坏家伙们利用远程访问随意通过身份验证。我认为这显示出此类攻击是一种长期的网络间谍活动。受害组织的网络里有太多的东西可寻,他们想尽量保持低调以避免被发现,因而所有的间谍活动都以普通用户的名义执行。防御一方的一大挑战就是需要留心异常的用户行为,而这一点并不容易做到。”
原文地址:http://www.aqniu.com/threat-alert/6379.html
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/146073.html<
