Damsun Security

بدافزار جديدي با عنوان کليد اسکلتي Skeleton Key به مهاجمين اين اجازه را مي‌دهد که با هر نام کاربري بدون نياز به دانستن رمز عبور يا تغيير آن وارد سيستم شده و هيچ سيستم تشخيص نفوذي قادر به شناسايي آن نمي‌باشد.

راهکارهاي مانيتورينگ شبکه و تشخيص رفتار غير معمول روشي براي شناسايي مهاجم در شبکه مي‌باشند، اما بدافزار جديد منسوب به کليد اسکلتي هر دو اين روش‌ها را دور زده است.

بدافزار جديد که توسط تيم امنيتي Dell کشف شده است، قادر به دور زدن سيستم‌هاي کنترل کننده دامنه که از يک فاکتور براي اعتبار سنجي استفاده مي‌کنند، مي‌باشد. همانطوري که محققان عنوان مي‌کنند: "کليد اسکلتي به عنوان وصله در کنترل کننده دامنه مورد هدف پخش شده و اجازه مي‌دهد که مهاجم به عنوان کاربران عادي تأييد هويت شود."

بنابراين مهاجم به جاي هر کاربر عادي در شبکه بدون نياز به سرقت اطلاعات اعتبار سنجي و يا تغيير کلمه عبور آنها مي‌تواند به سيستم نفوذ نموده و مشکل تنها زماني نمايان مي‌گردد که کاربر واقعي قادر به ورود به سيستم نمي باشد.

کليد اسکلتي نقاط ضعفي نيز دارد. از جمله اينکه مهاجم قبل از اجراي حمله اصلي مي‌بايست دسترسي admin به شبکه را داشته باشند.

حال سوال اينجاست: وقتي دسترسي admin وجود دارد چرا نياز به نصب بدافزار براي دسترسي در سطح کاربر عادي مي‌باشد؟ يکي از دلايل، عدم شناسايي توسط راهکار‌هاي امنيتي تحليل کننده رفتار مي‌باشد.

دان اسميت مدير تيم تحقيقات مي‌گويد: "بدافزارکليد اسکلتي به مهاجم اجازه مي‌دهد به جاي هر کاربر عادي تأييد هويت شود". اين مسئله مي‌تواند از راه دور با VPN و يا سرويس ايميل اتفاق بيفتد و فعاليت‌هاي آن کاملاً شبيه کاربر عادي مي‌باشد، بنابرابن احتمال آنکه تهديد منجر به ايجاد هرگونه رفتار مشکوکي شود، بسيار پايين است.

اگر مهاجم خود را به عنوان مدير منابع انساني جا بزند، آنگاه دسترسي مهاجم به کنترل کننده دامنه اطلاعات شخصي کاربران کاملاً عادي به نظر مي‌رسد.

اگر مهاجم خود را به عنوان مدير فروش جا بزند، دسترسي به کنترل کننده دامنه اطلاعات کارت‌هاي اعتباري مشکوک به نظر نمي‌رسد. اين موضوع مي‌تواند براي مهاجمي که به دپارتمان فناوري اطلاعات وارد شده و داراي دسترسي admin است، بسيار سودمند مي‌باشد.

مسئله اساسي ديگر آنست که بدافزار کليد اسکلتي از هيچ روش ثابتي استفاده نمي‌کند، بنابراين مي‌تواند هر زمان که کنترل کننده دامنه راه اندازي مجدد مي‌شود، دوباره اجرا گردد. همانطور که محققان بيان مي‌کنند، "بين 8 ساعت تا 8 روز از نصب دوباره، مهاجم از بدافزار دسترسي راه دور ديگري که قبلاً روي شبکه قرباني منتقل شده براي انتشار بدافزار کليد اسکلتي بر روي کنترل کننده‌هاي دامنه استفاده مي‌کند."

يکي از ويژگي‌هايي که شناسايي بدافزار کليد اسکلتي را دشوار مي‌سازد، آنست که اين بدافزار هيچگونه ترافيک شبکه‌اي توليد نمي‌کند و بنابراين توسط سيستم‌هاي مانيتورينگ شبکه مانند IDS يا IPS قابل شناسايي نمي باشد.

اسميت مي‌گويد."در فرآيند بررسي و ارزيابي اين رخداد مشخص گرديد، مهاجمين براي دستيابي به داده‌‌هاي مورد نظر خود تيم جاسوسي را براي مدتي طولاني راهبري مي‌کرده‌اند".

اين بد افزار به مهاجمين اجازه مي‌دهد که پروفايل کوچکي را براي مدت طولاني مورد استفاده قرار دهند، بگونه‌اي که با بکارگيري مکرر از اين پروفايل در سطح دامنه براي دسترسي به اسناد حساس، باعث ايجاد اخطار توسط تجهيزات امنيتي شبکه نگردد. اين ويژگي در حاليست که بدافزار کليد اسکلتي غير قابل شناسايي مي‌باشد.

استفاده از بدافزار کليد اسکلتي منجر به بروز تکرار فرآيند رونوشت برداري ميان کنترل کننده‌هاي دامنه مي‌گردد که اين پديده به عقيده محققان تيم پشتيباني مايکروسافت نمي‌تواند توضيح داده شود و براي رفع مشکل نياز به Restart کنترل کننده دومين مي‌باشد. فقدان مکانيزم مشخص به اين معناست که با Reset سرور کنترل کننده دومين مي‌توان بدافزار را از کار انداخت اما مي‌توان دوباره توسط بدافزار دسترسي راه دور که قبلاً در شبکه جاسازي شده، آن را فعال نمود.

البته ناگفته نماند که اين مسئله در صورتي قابل اجراست که سازمان مورد هدف از فرآيند‌هاي احراز هويت دو فاکتوري استفاده نکرده باشد.

منبع : http://www.darkreading.com/skeleton-key-malware-bypasses-active-directory/d/d-id/1318570?_mc=RSS_DR_EDT