Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
’Skeleton Key’ infekuje kontrolery Active Directory
Badacze z Dell SecureWorks Counter Threat Unit (CTU) odkryli malware, który atakuje kontrolery domeny Active Diretory i umożliwia logowanie się jako dowolny użytkownik do pozostałych usług (np. poczta, VPN) w sieciach, które wykorzystują tylko jedno-składnikowe uwierzytelnianie. Analizę zachowania tego złośliwego oprogramowania, które nazwali 'Skeleton-Key’, można przeczytać na stronie Dell SecurWorks.
Proces infekcji
- Malware umieszczany jest w postaci biblioteki DLL na kontrolowanej przez atakującego stacji w sieci AD tzw. jump host. Poznane dotychczas nazwy to: ole64.dll, ole.dll, and msuta64.dll.
- Za pomocą zdobytych poświadczeń administracyjnych 'Skeleton-Key’ umieszczany jest w katalogu C:\WINDOWS\system32\ na kontrolerze domeny.
- Przy pomocy PsExec malware instalowany jest jako patch w pamięci kontrolera domeny,a biblioteka zostaje usunięta z systemu plików.
psexec -accepteula \\%TARGET-DC% rundll32 [DLL filename] ii [NTLM password hash]
- Od tej pory za pomocą poleceń
net use
atakujący może korzystać z dowolnego konta AD wykorzystując przygotowany NTLM hash z pominięciem właściwego uwierzytelniania.
Symptomy
Eksperci z Dell SecureWorks wskazują, że aktywność 'Skeleton-Key’ może być przyczyną błędów replikacji domeny. Co więcej, malware ten nie ma własnych mechanizmów zapewniających mu przetrwania na kontrolerze, stąd reboot serwera powoduje przywrócenie poprawnego działania usługi AD. Na poniższym zdjęciu zostały przedstawione skorelowane zdarzenia instalacji 'Skeleton-Key’ i reboot’ów serwera. Infekcja następowała od kilku godzin do kilku dni po ponownym uruchomieniu kontrolera domeny.
zdarzenia infekcji usługi AD za pomocą 'Skeleton-Key’ , źródło: secureworks.com
Jak wykryć 'Skeleton-Key’
W artykule znajdują się hashe wykrytych bibliotek:
66da7ed621149975f6e643b4f9886cfd – MD5 hash Skeleton Key patch – msuta64.dll
ad61e8daeeba43e442514b177a1b41ad4b7c6727 – SHA1 hash Skeleton Key patch – msuta64.dll
bf45086e6334f647fda33576e2a05826 – MD5 hash Skeleton Key patch – ole64.dll
5083b17ccc50dd0557dfc544f84e2ab55d6acd92 – SHA1 hash Skeleton Key patch – ole64.dll
oraz sygnatura Yara, za pomocą której można przeskanować zrzut pamięci kontrolera domeny.
Warto poddać inspekcji stacje robocze i serwery AD w poszukiwaniu:
- Użycia
PsExec
szczególnie z argumentem"-accepteula".
Zdarzenia o identyfikatorach 7045 (instalacja usługi) lub 7036 (start/stop usługi).
- Użycia
rundll32.exe
- Użycia argumentów przypominających hashe NTLM t.j. 32-znakowe ciągi znaków zawierające liczby 0-9 lub litery A-F.
–j23
Czyli dla bezpieczeństwa dobrze będzie uruchomić w harmonogramie zadań reboot raz dziennie ;)))