24.1.15

Ključ koji otvara sve brave

Sredinom siječnja su stručnjaci tvrtke Dell SecureWorks objavili informaciju o novom malicioznom programu kojeg su otkrili u istrazi jednog incidenta, između travnja i studenog prošle godine. Maliciozni program je nazvan “Skeleton Key”, što je uobičajeni naziv za sredstvo kojim se mogu otvoriti svaka vrata.

Programski “Skeleton Key” je otkriven kod jedne multinacionalne tvrtke - identitet nije objavljen, no sa sjedištem u Londonu, kako se pretpostavlja. Radi se zapravo o jednostavnoj konstrukciji temeljenoj na infrastrukturi novih računalnih prijetnji. Naime, u novim/suvremenim računalnim prijetnjama, napadači ostvaruju inicijalni ulaz u informacijski sustav žrtve najčešće kompromitacijom klijentskih računala. Kada jednom uspiju ući u sustav, imaju veliku šansu ostati pritajeni, čak i dulje razdoblje, a nakon toga provoditi aktivnosti koje žele, ovisno od ciljeva, motivacije, a uglavnom želja naručitelja. Upravo ovako opisan kontekst - preliminarni ulaz u računalnu mrežu žrtve i zauzimanje pozicije za sljedeće korake - malo iznad nazivam infrastrukturom računalnih prijetnji.

Što se desilo u sljedećem koraku? Napadači, koji su nakon inicijalnog ulaska kontrolirali mrežu žrtve nekim od programa za udaljeni pristup (RAT), pokreću program koji je kasnije nazvan “Skeleton Key” na Active Directory sustavu. Kada je jednom program pokrenut, napadač može ostvariti prava bilo kojeg korisnika na sustavu korištenjem program PsExec - dovoljno je znati njegovo korisničko ime (što je naravno dostupno), a zahvaljujući programu “Skeleton Key” napadaču nije potrebna zaporka korisnika u čije se ime želi predstaviti. Zapravo, autentikacija se postiže “podvaljivanjem” NTLM hash zapisa ovog korisnika, čiji je sadržaj, napadaču dostupan. Ovdje moram dopuniti još jedan detalj: da bi pokrenuo program “Skeleton Key” napadač mora imati administratorske ovlasti na domeni koju napada. Taj zadatak je apsolviran u inicijalnoj fazi napada, pripremi napadačke infrastrukture. Naime, najčešće je  jedan od prvih koraka u suvremenim i naprednim računalnim napadima pribavljanje administratorskih zaporki, najčešće s osobnog računala samog administratora - pregledom sadržaja ili prisluškivanjem prometa, ali postoje i drugi načini i mjesta za tako nešto. S tako pribavljenim ovlastima, provedba “Skeleton Key” napada ide glatko.

“Skeleton Key” nema potrebe za mrežnom komunikacijom tako da su IDS/IPS sustavi bespomoćni. Maliciozni program je otkriven tako što je uzrokovao probleme u replikaciji domenskih kontrolera pa je sustav s pokrenutim “Skeleton Key” programom morao biti re-startan. Uočena je još jedna značajka: nakon re-starta, program “Skeleton Key” nije bio automatski pokrenut, već su ga napadači ponovo pokrenuli nakon određenog vremenskog razdoblja (od par sati do nekoliko dana).

Možda ćete postaviti pitanje čemu uopće ovaj program ako napadač kontrolira administratorski account? Razlog je u motivu da se postignu privilegiji i bilo kojeg drugog korisnika na sustavu. Administratorska prava bi to eventualno i mogla omogućiti, ali u puno duljem razdoblju, na skuplji način i bez jamstva za 100%-ni uspjeh. Ovako je jednostavnije.

Za sada nema podataka da je ovaj napad široko raširen, no to samo potvrđuje element u strategiji suvremenih prijetnji: napadi se kroje po mjeri žrtve, a publicitet je zadnja stvar koju napadač želi.

Ovaj napad ujedno potvrđuje potrebu dodatne kontrole administratorskih pristupnih prava i lozinki koje štite ova prava. Jednostavne i/ili rijetko mijenjanje zaporke, koje su uz to pohranjene negdje na računalu (bilo u tekstualnoj datoteci, memoriji Internet preglednika ili čak u hash datoteci) nisu jamstvo njihove sigurnosti. A kao što vidimo iz ovog primjera, kompromitacija administratorskih zaporki prethodila je “Skeleton Key” napadu kao što može poslužiti u bilo kojem napadu ove vrste.

Nema komentara: