Skeleton Key z Winnti za pan brat - badacze odkryli nowy fragment układanki

31-01-2015, 15:23

Analizując pierwsze doniesienia na temat trojana Skeleton Key, eksperci firmy Symantec odnieśli wrażenie, że "brakuje kawałka układanki". Nie wiadomo było bowiem, jak zagrożenie przedostaje się na serwery Active Directory. Według Symanteca może mu w tym pomagać znany od kilku lat backdoor Winnti.

Zacznijmy jednak od początku. W połowie stycznia br. specjaliści Dell SecureWorks namierzyli ciekawego konia trojańskiego, przystosowanego do działania wyłącznie na serwerach Active Directory (a jest to - najkrócej mówiąc - usługa katologowa dla systemu Windows, która pomaga administratorom zarządzać zasobami sieciowymi).

Skeleton Key - bo tak nazwano szkodnika - "lubi" sieci, w których nikt nie pofatygował się wprowadzić dwuskładnikowego uwierzytelniania. Po uzyskaniu uprawnień administratora domeny atakujący może dzięki temu logować się jako dowolny użytkownik do pozostałych usług, takich jak webmail czy VPN. Trojan nie generuje żadnego ruchu sieciowego, co utrudnia jego wykrycie.

Funkcjonuje zresztą jako patch w pamięci kontrolera domeny - pojawia się na zaatakowanym serwerze pod postacią biblioteki DLL, jest umieszczany w folderze C:\WINDOWS\system32\ i ładowany do pamięci za pomocą narzędzia PsExec. Po zainstalowaniu "łatki" plik biblioteki zostaje usunięty. To powoduje, że po restarcie serwera Skeleton Key przestaje działać. Tyle zachodu, żeby stworzyć nowy typ trojana, i takie potknięcie na końcu? Coś tu śmierdzi...

George W. Bailey / Shutterstock

George W. Bailey / Shutterstock

Zauważyli to już eksperci z Dell SecureWorks, których analiza zawiera m.in. wykres pokazujący odradzanie się szkodnika po upływie kilku godzin (lub dni) od restartu. Dokładniej przyjrzeli się temu specjaliści firmy Symantec, którym - jak podaje SC Magazine - prawdopodobnie udało się znaleźć "brakujący kawałek układanki". Może nim być backdoor Winnti, wykorzystywany wcześniej przez grupę o tej samej nazwie do szpiegowania firm zajmujących się produkcją gier online - kampanię tę w 2013 r. szczegółowo opisał Kaspersky Lab.

Winnti może przedostać się na sprzęt ofiary za pomocą spear-phishingowej wiadomości e-mail, pod postacią załączonego do niej archiwum z plikiem wykonywalnym. Kaspersky Lab nie zidentyfikował żadnych luk zero-day, które byłyby używane przez grupę Winnti. Od 2013 r. wiele mogło się jednak zmienić, nie jest zresztą powiedziane, że backdoora nie zaczęła wykorzystywać do swoich celów jakaś inna grupa.

Eksperci Symanteca znaleźli Winnti na paru komputerach zainfekowanych przez Skeleton Key. To by wyjaśniało jego odradzanie się po restarcie - backdoor zapewniał atakującemu zdalny dostęp do serwera i umożliwiał ponowne zainstalowanie "wytrychu" (tak na jęz. polski tłumaczymy nazwę Skeleton Key).

Czy jestem zarażony? Wskazówki dla "cyberchondryków"

Na blogu firmy Symantec znajdziemy wykaz plików związanych z omawianym zagrożeniem. W bibliotekach ole.dll, ole64.dll, olex64.dll, msuta64.dll, HookDC.dll i HookDC64.dll może ukrywać się Skeleton Key (Trojan.Skelky, jak nazywa go Symantec). Są one, jak już wspomniałam, szybko z serwera usuwane. W plikach jqs.exe i tmp8296.tmp możemy znaleźć Winnti - te będą raczej trwałym "nabytkiem". Kaspersky Lab w 2013 r. podawał nazwy jeszcze dwóch bibliotek mających związek z omawianym backdoorem - apphelp.dll i winmm.dll.

Jeżeli obawiacie się infekcji, nie zaszkodzi przejrzeć logi pod kątem użycia narzędzia PsExec. Należy zwrócić uwagę na zdarzenia instalacji oraz uruchomienia/zatrzymania usługi (Event ID 7045 i 7036). O infekcji mogą świadczyć także powtarzające się błędy replikacji domeny, ustępujące po restarcie serwera Active Directory.

Czytaj także: GHOST - stara luka w bibliotece glibc straszy linuksiarzy


  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Luty 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
242526272829