“万能钥匙”恶意软件绕过活动目录

网络监控软件或异常用户行为是检测网络是否存在攻击者的两种方式，但是名为“Skeleton Key（万能钥匙）”的一款新型恶意软件可同时规避这两种方式。

戴尔安全工程CTU发现，万能钥匙可绕过只使用单因素认证的活动目录系统。它被当做一个内存补丁部署在受害者的AD域控制器上，允许威胁发起者以任何用户的身份进行认证，而合法用户可继续验证为正常状态。

因此，攻击者可伪装成任何用户，而无需窃取用户的登陆凭证且无需修改用户密码，随后当真正的用户无法登录时向服务台发出警报。

不过，万能钥匙确实存在一些关键的问题——至少在Dell检测出的样本中是这样的。其中的一个问题是，在攻击者可部署之前，他必须已经拥有网络的管理员访问权限。

那既然已经有了管理员访问权限，为什么还要伪装成别的用户安装恶意软件呢？目的之一是为了防止被基本的行为分析检测到。

CTU研究团队表示，“万能钥匙恶意软件允许对手通过注入密码很轻易地认证为任何用户。这种情况可远程发生在Webmail或者VPN上。这种活动就像并且就是正常的终端用户活动，所以引发可疑威胁的可能性极其低，这就是这款恶意软件为何会如此隐匿的原因。”

如果攻击者伪装成一个人力资源总监，那么它访问个人识别信息数据库的活动就不会显得异常了。如果它作为一个销售董事，那么它访问支付卡信息的活动也不会显得可疑。这对于那些不怀好意的IT内部人士来说尤为重要，因为他们已经拥有了管理员访问权限。

万能钥匙的另外一个主要弱点在于，它不会使用任何长久的方法。所以在域控制器重启时它必须随时进行重新部署。正如研究人员指出的那样，“在持续了八天八小时的重启之后，威胁发动者利用其它已经部署在受害者网络上的远程访问恶意软件在域控制器上重新部署万能钥匙。”

万能钥匙之所以难以被检测到，原因之一是它并不产生网络流量，因此不会被诸如IDS或者IPS这样的网络监控系统检测到。

“在事件响应情境中，我们分析发现对手正在进行一个长期的间谍活动。这一能力允许他们处于一种非常低调的状态，重复使用域控制器访问重要文档可能会被告知网络维护人员，但万能钥匙处于超级隐形的状态。”

然而，部署万能钥匙确实会引发域控制器复制的问题，研究人员认为这个问题“微软支持不能够解释也无法解决，所以最后不得不重启”。缺乏一种长久机制意味着重启将会有效地剔除这一恶意软件；但之后它会通过早已安装在组织机构内部的远程访问恶意软件的方式重新部署。

当然，所有的这一切只有当目标组织机构没有部署双因素认证的情况下才会发生。所以，从双因素认证开始吧。

小编语：虽然万能钥匙看似万能，但也架不住双因素认证。有道是苍蝇不叮无缝的蛋，要想避免被攻击，就得把自己先裹好，裹得严严实实的。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。