“万能钥匙”开启网络谍报秘门

安全
企业的活动目录(AD)管理员们应该对特权用户的异常行为多加注意了。日前一家总部位于伦敦的跨国公司遭遇了网络间谍攻击,其中就有能够绕过AD单因子身份验证的恶意软件的身影。

企业的活动目录(AD)管理员们应该对特权用户的异常行为多加注意了。日前一家总部位于伦敦的跨国公司遭遇了网络间谍攻击,其中就有能够绕过AD单因子身份验证的恶意软件的身影。

[[126505]]

黑客通过远程访问木马侵入那家公司的网络,植入名为“万能钥匙”的恶意软件取得合法的内部凭证,进而在不引发警报的情况下窃取公司数据并偷渡到外部网络。

戴尔网络安全公司SecureWorks的研究人员不会披露数据失窃公司的信息,也不会提供任何有关攻击者身份和位置的暗示。他们只表示:这不是一次网络犯罪行动,失窃文件中有部分是环太平洋地区有关组织感兴趣的。

SecureWorks技术主管Don Smith说,万能钥匙被有意设计为不长久驻留主机。它作为内存补丁安装在AD域控制器上,域控重启则失效。而实际上,AD域控制器,比如此次遭受攻击的那几台,一般是不经常重启的。

“这不是攻击者的失误。那些人有实力把程序写成长期驻留的类型。不长期驻留正表明了此次行动的隐秘本质。若要使程序在主机重启后随之启动,势必要在注册表或其他地方留下痕迹。只进驻内存,重启即失效的做法更加隐秘,可以最小化他们的攻击痕迹。他们在网络中其他地方留有后门,只在有需要的时候登门入户。”

拥有AD访问权,黑客就能取得账户密码组合,并利用这些凭证以合法用户的身份远程实施余下的攻击步骤。在上面提到的伦敦公司的例子中,他们侵入了只使用口令字对网页邮件和VPN远程登录进行身份验证的网络。一旦进入内部网络,就能利用从关键服务器、管理员工作站、域控上窃取的凭证将万能钥匙散布到此网络各处。

SecureWorks于本周发布了一份报告,其中列出了大量攻击指示器和YARA恶意软件签名。很多文件名也与万能钥匙有关,其中一个甚至喻示2012年编译的老版万能钥匙变种的存在。

攻击者一旦登录网络,便会上传万能钥匙的动态库文件(DLL)到一台已感染主机上,运用一份偷取的管理员凭证列表尝试访问域控管理员共享。若是凭证全都无效,则转而到另一台服务器、域管理员工作站或目标域控主机上部署口令窃取工具,从内存中抽取管理员密码。

万能钥匙被有意设计为不长久驻留主机;它作为内存补丁安装在AD域控制器上。

缺乏持久性并非万能钥匙显露出来的唯一弱点。它还会导致地区办事处的AD域控重写问题,而重写就要求域控制器重启。频繁重启就是攻击者在反复植入万能钥匙的迹象,同时还会伴随有PsExec或任务管理器进程的出现,这些都是需要注意的特权用户异常行为。

Smith表示:“一切都是从收集口令字开始。一旦黑客哈希注入成功,他们就可以在整个网络中漫步,使用任意用户名和口令巡视其中每一台主机。坏家伙们利用远程访问随意通过身份验证。我认为这显示出此类攻击是一种长期的网络间谍活动。受害组织的网络里有太多的东西可寻,他们想尽量保持低调以避免被发现,因而所有的间谍活动都以普通用户的名义执行。防御一方的一大挑战就是需要留心异常的用户行为,而这一点并不容易做到。”

原文地址:http://www.aqniu.com/threat-alert/6379.html

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2022-06-23 18:10:15

多云

2021-08-17 14:25:11

人脸识别人工智能身份识别

2015-02-28 15:52:40

2015-08-17 14:53:44

2015-02-27 09:58:22

Wi-Fi万能钥匙

2020-08-12 11:52:28

物联网标准化IOT

2015-02-28 09:29:47

2016-03-15 10:15:57

飞鱼星/Wi-Fi万能

2024-03-06 11:16:10

2021-03-11 16:11:54

人工智能大数据天体物理

2017-09-18 09:58:44

2015-02-27 10:15:34

2021-03-11 12:55:42

人工智能AI

2024-03-22 12:34:37

2018-11-30 08:44:23

WIFI万能钥匙密码

2015-03-02 09:12:12

2018-04-25 08:49:10

2021-05-07 22:07:57

WiFi万能钥匙软件

2017-03-07 20:29:58

2018-09-30 09:28:13

点赞
收藏

51CTO技术栈公众号