新闻链接:http://www.seehand.com/news/334.html
新闻时间:2015年01月20日 10:15
新闻正文:Active Directory负责人应为特权用户的异常情况做好准备，尤其是在检测到可以绕过单因素AD认证的恶意软件后。该恶意软件被用于对总部设在伦敦的各大全球性公司发起的大型网络攻击。
黑客通过远程访问木马（ RAT）获得了进入公司网络的途径，并利用恶意软件锁挑盗取内部用户身份，以窃取公司数据，并在不引起公司安全卫士注意的情况下将它们发送出去。
Dell SecureWorks的研究人员尚未提供该黑客机构，也未提供有关入侵者的身份或位置的任何证据，除此之外，它还是非刑事操作，其中一些被盗文件是“环太平洋”地区的一些人物非常感兴趣的。
据Dell SecureWorks技术总监Don Smith介绍，恶意软件锁挑是不可长期持续的。它作为一个补丁安装在Active Directory域控制器的内存中，在重新启动后不会保留。但是，在遭受攻击后已经损坏了的Active Directory域控制器会频繁重复启动。
Smith 说：“我不认为，这是简单的“误授权给黑客”的错误。卷入其中的人们可以在毫不知情的情况下使其持续更久，因为稳定性的缺乏进一步加强了这个操作的隐蔽性。如果你试图使它在重启后仍然保留，这是很难的。它设计非常严密，并且最大限度消除了自己的活动痕迹。它们在网络其他部分建立自己的定位，每次需要时即可重新设置恶意软件。”
通过访问Active Directory，黑客可以掌握用户账户和密码的组合，使用这些数据完成它们剩余阶段的攻击，被认证成为合法的用户。在伦敦公司的案例中，研究人员发现了一个网络，它对于Web邮件和远程访问VPN仅使用密码认证。一旦进入网络，黑客就能使用被盗的关键服务器上的凭证管理工作站和域服务器，以便在整个网络中安装恶意软件锁挑。
Dell SecureWorks在其报告中发布了YARA的一系列妥协迹象以及签名检测。一系列文件名也显示与恶意软件锁挑有关，其中还包括编制于2012年的旧版本恶意软件的存在。
Dell SecureWorks还报告说，攻击者入侵网络后，将DLL文件恶意软件加载到已经感染的设备上，试图访问域控制器上的网络管理文件夹，使用被盗的管理员列表凭证。如果没能获得数据信息，攻击者会制造工具从另一个服务器的存储器获取密码，如工作站域管理员或目标域控制器。通过访问DLL控制器，恶意软件锁挑解锁服务器，攻击者使用PsExec工具，用于远程入侵恶意软件锁挑的补丁并在目标域控制器上远程运行恶意DLL。接下来，攻击者就可以使用NTLM密码哈希来验证任何用户了。
稳定性的缺乏并不应被视为恶意软件锁挑的弱点。它的安装导致了地区办事处在复制域AD控制器方面的问题，因为它需要重新启动。根据Smith的说法，频繁的重启标志着攻击者重新安装了锁密钥（锁挑），而PsExec 和 TaskScheduler则被检测到活动异常频繁。Smith还评论道：“这只是简单的密码集合。只要它们实现了’哈希’，他们可以进入任何网络上的任何机器，输入任何用户名和密码。这些坏家伙是使用远程登录的方式完成认证的。我认为，这种攻击具备一个长期的数字控制操作特征。攻击者们正在试图以尽可能低调避免被发现的方式，偷偷获取他们目标范围内的用户数据信息。所有间谍的行为都是打着普通用户的幌子进行的。现在的问题是，防御方必须积极寻找用户的一切异常行为，而这可不是一个简单的任务。”

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课