‘Skeleton Key’ infekuje kontrolery Active Directory

Badacze z Dell SecureWorks Counter Threat Unit (CTU) odkryli malware, który atakuje kontrolery domeny Active Diretory i umożliwia logowanie się jako dowolny użytkownik do pozostałych usług (np. poczta, VPN) w sieciach, które wykorzystują tylko jedno-składnikowe uwierzytelnianie. Analizę zachowania tego złośliwego oprogramowania, które nazwali ‘Skeleton-Key’, można przeczytać na stronie Dell SecurWorks.

Proces infekcji

• Malware umieszczany jest w postaci biblioteki DLL na kontrolowanej przez atakującego stacji w sieci AD tzw. jump host. Poznane dotychczas nazwy to: ole64.dll, ole.dll, and msuta64.dll.

• Za pomocą zdobytych poświadczeń administracyjnych ‘Skeleton-Key’ umieszczany jest w katalogu C:\WINDOWS\system32\  na kontrolerze domeny.

• Przy pomocy PsExec malware instalowany jest jako patch w pamięci kontrolera domeny,a biblioteka zostaje usunięta z systemu plików.
  psexec -accepteula \\%TARGET-DC% rundll32 [DLL filename] ii [NTLM password hash]

• Od tej pory za pomocą poleceń net use atakujący może korzystać z dowolnego konta AD wykorzystując przygotowany NTLM hash z pominięciem właściwego uwierzytelniania.

Symptomy

Eksperci z Dell SecureWorks wskazują, że aktywność ‘Skeleton-Key’ może być przyczyną błędów replikacji domeny. Co więcej, malware ten nie ma własnych mechanizmów zapewniających mu przetrwania na kontrolerze, stąd reboot serwera powoduje przywrócenie poprawnego działania usługi AD. Na poniższym zdjęciu zostały przedstawione skorelowane zdarzenia instalacji ‘Skeleton-Key’ i reboot’ów serwera. Infekcja następowała od kilku godzin do kilku dni po ponownym uruchomieniu kontrolera domeny.

zdarzenia infekcji usługi AD za pomocą ‘Skeleton-Key’ , źródło: secureworks.com

Jak wykryć ‘Skeleton-Key’

W artykule znajdują się hashe wykrytych bibliotek:

66da7ed621149975f6e643b4f9886cfd – MD5 hash Skeleton Key patch – msuta64.dll

ad61e8daeeba43e442514b177a1b41ad4b7c6727 – SHA1 hash Skeleton Key patch – msuta64.dll

bf45086e6334f647fda33576e2a05826 – MD5 hash Skeleton Key patch – ole64.dll

5083b17ccc50dd0557dfc544f84e2ab55d6acd92 – SHA1 hash Skeleton Key patch – ole64.dll

oraz sygnatura Yara, za pomocą której można przeskanować zrzut pamięci kontrolera domeny.

Warto poddać inspekcji stacje robocze i serwery AD w poszukiwaniu:

• Użycia PsExec szczególnie z argumentem "-accepteula". Zdarzenia o identyfikatorach 7045 (instalacja usługi) lub 7036 (start/stop usługi).

• Użycia rundll32.exe

• Użycia argumentów przypominających hashe NTLM t.j. 32-znakowe ciągi znaków zawierające liczby 0-9 lub litery A-F.

–j23