Администраторам Active Directory стоит быть готовыми к аномальным действиям привилегированных пользователей после обнаружения вредоносной программы, способной обходить однофакторную аутентификацию AD. Зловред использовался в ходе большой кибершпионской кампании против глобальной компании, расположенной в Лондоне.

Хакеры, уже получившие доступ к сети компании с помощью троянца удаленного доступа (RAT), используют зловред-отмычку для кражи учетных данных внутренних пользователей, чтобы красть данные компании и отправлять их наружу без привлечения внимания безопасников.

Исследователи из Dell SecureWorks не указали организацию и не предоставили какие-либо свидетельства о личности или местоположении злоумышленников, кроме того, что это было некриминальной операцией и некоторые из украденных документов могут представлять интерес для лиц с «тихоокеанского рубежа».

Зловред-отмычка, по словам директора по технологиям Dell SecureWorks Дона Смита (Don Smith), не отличается устойчивостью. Он устанавливается как патч в оперативной памяти контроллера домена Active Directory и не сохраняется после перезагрузки. Впрочем, контроллеры домена Active Directory, как те, которые были скомпрометированы этой атакой, перезагружаются нечасто.

«Я не думаю, что это ошибка [допущенная злоумышленниками]. Замешанные в этом люди могли сделать его устойчивым, — сказал Смит. — Отсутствие устойчивости характеризует скрытную природу этой операции. Если вы сделаете его так, чтобы он сохранялся после перезапуска. Он суперскрытный, и это минимизирует оставляемые следы. Они полагаются на свои позиции в других участках сети и ставят зловред каждый раз, когда он им нужен».

С доступом в Active Directory хакеры могут завладеть комбинациями имени пользователя и пароля, использовать эти учетные данные для проведения остальных этапов своей атаки, будучи аутентифицированы в качестве легитимных пользователей. В случае лондонской фирмы они обнаружили сеть, которая использует только парольную аутентификацию для веб-почты и удаленного доступа по VPN. Будучи внутри, они смогли использовать учетные данные, краденные на критических серверах, рабочих станциях администратора и контроллеров домена, для установки зловреда-отмычки по всей сети.

Dell SecureWorks опубликовала ряд признаков компрометации и сигнатуры обнаружения для YARA в своем отчете. Ряд имен файлов были также ассоциированы со зловредом-отмычкой, включая то, которое подразумевает существование старого варианта зловреда, скомпилированного в 2012 году.

Dell SecureWorks также сообщила, что злоумышленники, проникнув в сеть, загружают DLL-файл зловреда на уже скомпрометированную машину и пытаются получить доступ к администраторским сетевым папкам на доменных контроллерах, используя список украденных учетных данных администраторов. Если учетные данные не подошли, они устанавливают инструменты для кражи паролей из памяти другого сервера, рабочей станции администратора домена или контроллеров целевого домена. С доступом на контроллер DLL зловреда-отмычки загружается, и злоумышленники используют утилиту PsExec для удаленного внедрения патча зловреда-отмычки и запуска вредоносного DLL удаленно на контроллерах целевого домена. Затем злоумышленники используют хэш пароля NTLM для аутентификации в качестве любого пользователя.

Отсутствие устойчивости — не единственное, что воспринимается как слабость зловреда-отмычки. Его установка вызывает проблемы с репликацией доменного контроллера AD в региональных офисах, из-за чего требуется его перезагрузка. По словам Смита, частые перезагрузки являются признаком того, что злоумышленники переустанавливают отмычку, что наряду с присутствием PsExec или TaskScheduler является той самой аномальной активностью, которую можно обнаружить.

«Это был просто сбор паролей. Как только они внедряют хэш, они могут заходить на любые машины в сети, вводя любые имена пользователей и пароли, — рассказал Смит. — Плохие парни используют удаленный доступ для аутентификации. Я думаю, это характеризует данную атаку как долговременную кибершпионскую операцию. Есть много информации о жертвах, на которых они нацелены, и они пытаются оставаться как можно более незаметными, чтобы избежать обнаружения. Все шпионские действия проводятся под видом обычного пользователя. Проблема в том, что обороняющаяся сторона должна искать аномальное поведение пользователей, что не относится к простым задачам».

Категории: Вредоносные программы