Active Directory Skeleton Key Attack

In caz ca nu sunteti la curent cu stirile din zona de security m-am gandit sa scot in evidenta un nou tip de atack ce a fost descoperit de curand si ce a fost denumit “Skeleton Key”.

Atacul vine sub forma unui malware ce este “plantat” pe domain controllere si odata ce acesta este incarcat in ram, este sters de pe disk pentru a ingreuna detectia. Asta face ca daca serverul este restartat, malware-ul va trebui reinstalat.

Este important de retinut ca malware-ul nu poate fi instalat pe un domain controller fara a avea acces. Deci de regula atacatorul se foloseste de ori credentialele compromise ale unui admin sau ale unui service account.

In raportul facut de Dell SecureWorks au fost descoperite doua fisiere msuta64.dll si ole64.dll folosite pentru a instala malware-ul pe DC-uri.

Dar sa va spun si cum decurge un astfel de atac, asta daca nu ati banuit deja din nume. Skeleton Key, ca si termen, se refera la o cheie ce poate deschide orice fel de incuietoare. Cand un domain controller a fost alterat cu acest skeleton key malware, atacatorul se va putea autentifica pe acest DC cu orice user din domeniu fara sa ii stie parola. Problema e ca odata ajuns in faza asta este foarte greu de detectat (poate chiar imposibil).

In unul din cazurile in care a fost detectat existau probleme inexplicabile de replicare intre DC-uri. Deci daca vedeti asa ceva si brusc dupa reboot merge, poate vreti sa urmati si pasii de detectie prezentati de SecureWorks si sa instalati si un antivirus cu semnaturile la zi.

Pentru mai multe detalii va invit sa cititi urmatorul articol:

http://www.secureworks.com/cyber-threat-intelligence/threats/skeleton-key-malware-analysis/