企業的活動目錄(AD)管理員們應該對特權用戶的異常行為多加注意了。日前一家總部位于倫敦的跨國公司遭遇了網絡間諜攻擊，其中就有能夠繞過AD單因子身份驗證的惡意軟件的身影。

[[126505]]

黑客通過遠程訪問木馬侵入那家公司的網絡，植入名為“萬能鑰匙”的惡意軟件取得合法的內部憑證，進而在不引發警報的情況下竊取公司數據并偷渡到外部網絡。

戴爾網絡安全公司SecureWorks的研究人員不會披露數據失竊公司的信息，也不會提供任何有關攻擊者身份和位置的暗示。他們只表示：這不是一次網絡犯罪行動，失竊文件中有部分是環太平洋地區有關組織感興趣的。

SecureWorks技術主管Don Smith說，萬能鑰匙被有意設計為不長久駐留主機。它作為內存補丁安裝在AD域控制器上，域控重啟則失效。而實際上，AD域控制器，比如此次遭受攻擊的那幾臺，一般是不經常重啟的。

“這不是攻擊者的失誤。那些人有實力把程序寫成長期駐留的類型。不長期駐留正表明了此次行動的隱秘本質。若要使程序在主機重啟后隨之啟動，勢必要在注冊表或其他地方留下痕跡。只進駐內存，重啟即失效的做法更加隱秘，可以最小化他們的攻擊痕跡。他們在網絡中其他地方留有后門，只在有需要的時候登門入戶。”

擁有AD訪問權，黑客就能取得賬戶密碼組合，并利用這些憑證以合法用戶的身份遠程實施余下的攻擊步驟。在上面提到的倫敦公司的例子中，他們侵入了只使用口令字對網頁郵件和VPN遠程登錄進行身份驗證的網絡。一旦進入內部網絡，就能利用從關鍵服務器、管理員工作站、域控上竊取的憑證將萬能鑰匙散布到此網絡各處。

SecureWorks于本周發布了一份報告，其中列出了大量攻擊指示器和YARA惡意軟件簽名。很多文件名也與萬能鑰匙有關，其中一個甚至喻示2012年編譯的老版萬能鑰匙變種的存在。

攻擊者一旦登錄網絡，便會上傳萬能鑰匙的動態庫文件(DLL)到一臺已感染主機上，運用一份偷取的管理員憑證列表嘗試訪問域控管理員共享。若是憑證全都無效，則轉而到另一臺服務器、域管理員工作站或目標域控主機上部署口令竊取工具，從內存中抽取管理員密碼。

萬能鑰匙被有意設計為不長久駐留主機；它作為內存補丁安裝在AD域控制器上。

缺乏持久性并非萬能鑰匙顯露出來的唯一弱點。它還會導致地區辦事處的AD域控重寫問題，而重寫就要求域控制器重啟。頻繁重啟就是攻擊者在反復植入萬能鑰匙的跡象，同時還會伴隨有PsExec或任務管理器進程的出現，這些都是需要注意的特權用戶異常行為。

Smith表示：“一切都是從收集口令字開始。一旦黑客哈希注入成功，他們就可以在整個網絡中漫步，使用任意用戶名和口令巡視其中每一臺主機。壞家伙們利用遠程訪問隨意通過身份驗證。我認為這顯示出此類攻擊是一種長期的網絡間諜活動。受害組織的網絡里有太多的東西可尋，他們想盡量保持低調以避免被發現，因而所有的間諜活動都以普通用戶的名義執行。防御一方的一大挑戰就是需要留心異常的用戶行為，而這一點并不容易做到。”

原文地址：http://www.aqniu.com/threat-alert/6379.html