"کليد اسکلتی" بدافزاری که از کنترل کننده دامنه عبور می‌کند

بدافزار جديدی با عنوان کليد اسکلتی Skeleton Key به مهاجمين اين اجازه را می‌دهد که با هر نام کاربری بدون نياز به دانستن رمز عبور يا تغيير آن وارد سيستم شده و هيچ سيستم تشخيص نفوذی قادر به شناسايی آن نمی‌باشد.

راهکارهای مانيتورينگ شبکه و تشخيص رفتار غير معمول روشی برای شناسايی مهاجم در شبکه می‌باشند، اما بدافزار جديد منسوب به کليد اسکلتی هر دو اين روش‌ها را دور زده است.

بدافزار جديد که توسط تيم امنيتی Dell کشف شده است، قادر به دور زدن سيستم‌های کنترل کننده دامنه که از يک فاکتور برای اعتبار سنجی استفاده می‌کنند، می‌باشد. همانطوری که محققان عنوان می‌کنند: "کليد اسکلتی به عنوان وصله در کنترل کننده دامنه مورد هدف پخش شده و اجازه می‌دهد که مهاجم به عنوان کاربران عادی تأييد هويت شود."

بنابراين مهاجم به جای هر کاربر عادی در شبکه بدون نياز به سرقت اطلاعات اعتبار سنجی و يا تغيير کلمه عبور آنها می‌تواند به سيستم نفوذ نموده و مشکل تنها زمانی نمايان می‌گردد که کاربر واقعی قادر به ورود به سيستم نمی باشد.

کليد اسکلتی نقاط ضعفی نيز دارد. از جمله اينکه مهاجم قبل از اجرای حمله اصلی می‌بايست دسترسی admin به شبکه را داشته باشند.

حال سوال اينجاست: وقتی دسترسی admin وجود دارد چرا نياز به نصب بدافزار برای دسترسی در سطح کاربر عادی می‌باشد؟ يکی از دلايل، عدم شناسايی توسط راهکار‌های امنيتی تحليل کننده رفتار می‌باشد.

دان اسميت مدير تيم تحقيقات می‌گويد: "بدافزارکليد اسکلتی به مهاجم اجازه می‌دهد به جای هر کاربر عادی تأييد هويت شود". اين مسئله می‌تواند از راه دور با VPN و يا سرويس ايميل اتفاق بيفتد و فعاليت‌های آن کاملاً شبيه کاربر عادی می‌باشد، بنابرابن احتمال آنکه تهديد منجر به ايجاد هرگونه رفتار مشکوکی شود، بسيار پايين است.

اگر مهاجم خود را به عنوان مدير منابع انسانی جا بزند، آنگاه دسترسی مهاجم به کنترل کننده دامنه اطلاعات شخصی کاربران کاملاً عادی به نظر می‌رسد.

اگر مهاجم خود را به عنوان مدير فروش جا بزند، دسترسی به کنترل کننده دامنه اطلاعات کارت‌های اعتباری مشکوک به نظر نمی‌رسد. اين موضوع می‌تواند برای مهاجمی که به دپارتمان فناوری اطلاعات وارد شده و دارای دسترسی admin است، بسيار سودمند می‌باشد.

مسئله اساسی ديگر آنست که بدافزار کليد اسکلتی از هيچ روش ثابتی استفاده نمی‌کند، بنابراين می‌تواند هر زمان که کنترل کننده دامنه راه اندازی مجدد می‌شود، دوباره اجرا گردد. همانطور که محققان بيان می‌کنند، "بين 8 ساعت تا 8 روز از نصب دوباره، مهاجم از بدافزار دسترسی راه دور ديگری که قبلاً روی شبکه قربانی منتقل شده برای انتشار بدافزار کليد اسکلتی بر روی کنترل کننده‌های دامنه استفاده می‌کند."

يکی از ويژگی‌هايی که شناسايی بدافزار کليد اسکلتی را دشوار می‌سازد، آنست که اين بدافزار هيچگونه ترافيک شبکه‌ای توليد نمی‌کند و بنابراين توسط سيستم‌های مانيتورينگ شبکه مانند IDS يا IPS قابل شناسايی نمی باشد.

اسميت می‌گويد."در فرآيند بررسی و ارزيابی اين رخداد مشخص گرديد، مهاجمين برای دستيابی به داده‌‌های مورد نظر خود تيم جاسوسی را برای مدتی طولانی راهبری می‌کرده‌اند".

اين بد افزار به مهاجمين اجازه می‌دهد که پروفايل کوچکی را برای مدت طولانی مورد استفاده قرار دهند، بگونه‌ای که با بکارگيری مکرر از اين پروفايل در سطح دامنه برای دسترسی به اسناد حساس، باعث ايجاد اخطار توسط تجهيزات امنيتی شبکه نگردد. اين ويژگی در حاليست که بدافزار کليد اسکلتی غير قابل شناسايی می‌باشد.

استفاده از بدافزار کليد اسکلتی منجر به بروز تکرار فرآيند رونوشت برداری ميان کنترل کننده‌های دامنه می‌گردد که اين پديده به عقيده محققان تيم پشتيبانی مايکروسافت نمی‌تواند توضيح داده شود و برای رفع مشکل نياز به Restart کنترل کننده دومين می‌باشد. فقدان مکانيزم مشخص به اين معناست که با Reset سرور کنترل کننده دومين می‌توان بدافزار را از کار انداخت اما می‌توان دوباره توسط بدافزار دسترسی راه دور که قبلاً در شبکه جاسازی شده، آن را فعال نمود.

البته ناگفته نماند که اين مسئله در صورتی قابل اجراست که سازمان مورد هدف از فرآيند‌های احراز هويت دو فاکتوری استفاده نکرده باشد.


منبع : http://www.darkreading.com/skeleton-key-malware-bypasses-active-directory/d/d-id/1318570?_mc=RSS_DR_EDT

تاريخ: شنبه 27 دي 1393  ساعت: 18:50

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm