Black Hat Asia 2023

มัลแวร์ Skeleton Key กุญแจผีสำหรับไขเข้าสู่องค์กร

dell_logo

ทีมนักวิจัยที่ Dell SecureWorks’ Counter Threat Unit (CTU) ได้ค้นพบมัลแวร์ตัวใหม่ที่สามารถหลบเลี่ยงการพิสูจน์ตัวตนบนระบบ Active Directory (AD) ที่ใช้เพียงแค่รหัสผ่านให้การตรวจสอบผู้ใช้เพียงอย่างเดียว โดยตั้งชื่อมัลแวร์ตัวนี้ว่า Skeleton Key หรือก็คือกุญแจผีนั่นเอง

จากรายงานของ CTU ระบุว่า มัลแวร์ Skeleton Key ช่วยให้แฮ็คเกอร์สามารถบายพาสระบบ AD ที่ใช้การพิสูจน์ตัวตนแบบ Single-factor Authentication หรือก็คือใช้เพียงรหัสผ่านเพียงอย่างเดียวในการยืนยันตัวตนผู้ใช้ โดยแฮ็คเกอร์สามารถเลือกใช้รหัสผ่านเพื่อปลอมตัวเป็นผู้ใช้งานคนไหนก็ได้ ก่อนที่จะเข้าไปยังระบบเครือข่ายเพื่อกระทำการอื่นๆต่อไป

Credit: Julia Tim/ShutterStock
Credit: Julia Tim/ShutterStock

Skeleton Key ถูกค้นพบบนระบบเครือข่ายของลูกค้าที่ใช้รหัสผ่านในการเข้าสู่ระบบอีเมลล์และ VPN ซึ่งมัลแวร์ดังกล่าวจะถูกติดตั้งในรูปของ In-memory Patch บน AD Domain Controller ของเหยื่อโดยอาศัย Credential ของผู้ดูแลระบบโดเมน (ซึ่งอาจถูกขโมยมาจากเครื่องเซิฟเวอร์อื่น, เครื่องคอมพิวเตอร์ของผู้ดูแลระบบ หรือ Domain Controller ที่เป็นเป้าหมายก็ได้) ส่งผลให้แฮ็คเกอร์สามารถใช้เข้าถึงระบบแบบรีโมทได้ทันที เสมือนเป็นผู้ใช้งานปกติ ยากต่อการตรวจสอบว่าเป็นแฮ็คเกอร์ปลอมตัวเข้ามา ในขณะที่ผู้ใช้งานคนนั้น (และคนอื่น) ก็ยังสามารถทำงานได้ตามปกติ โดยไม่รู้ตัวเลยว่าถูกแฮ็คเกอร์สวมชื่ออยู่

อย่างไรก็ตาม ด้วยการที่เป็น In-memory Patch ส่งผลให้เมื่อรีสตาร์ท AD มัลแวร์ดังกล่าวก็จะหายไปทันที แต่นักวิจัยของ CTU เชื่อว่า หลังจากที่แฮ็คเกอร์เข้าสู่ระบบทีแรกได้แล้ว แฮ็คเกอร์จะทำการติดตั้งมัลแวร์สำหรับรีโมทไว้ที่ส่วนอื่นของระบบของเหยื่อ เพื่อให้ทำการติดตั้งมัลแวร์ Skeleton Key ใหม่อีกครั้งเมื่อ AD ถูกรีสตาร์ท

แฮ็คเกอร์ใช้เครื่องมือชื่อ PsExec ในการรัน Skeleton Key DLL แบบรีโมทบน Domain Controller ของเหยื่อผ่านทาง rundll32 command ซึ่งมัลแวร์ตัวนี้จะไม่มีการส่งทราฟฟิคออกจากระบบเครือข่าย ส่งผลให้อุปกรณ์สำหรับตรวจจับภัยคุกคามในระดับเน็ตเวิร์คไม่สามารถตรวจจับได้ อย่างไรก็ตาม มัลแวร์ดังกล่าวอาจก่อให้เกิดปัญหา Domain Replication โดยไม่ทราบสาเหตุ ทำให้ผู้ดูแลระบบสามารถทราบได้ว่า AD ของตนอาจถูก Skeleton Key โจมตีอยู่ ซึ่งวิธีแก้ปัญหาก็หนีไม่พ้นการรีสตาร์ท AD ใหม่

Dell SecureWorks แนะนำให้ทุกองค์กรใช้วิธีการพิสูจน์ตัวตนแบบ Multi-factor Authentication สำหรับทุกระบบที่ใช้งานแบบรีโมท และคอยติดตามอีเวนท์ของ Windows Service Control Manager บน AD รวมทั้งคอยเอาใจใส่การตรวจสอบ Process Creation บนเครื่องคอมพิวเตอร์และเซิฟเวอร์ ซึ่งอาจช่วยให้ตรวจจับการติดตั้ง Skeleton Key ได้

รายละเอียดเพิ่มเติม: http://www.secureworks.com/cyber-threat-intelligence/threats/skeleton-key-malware-analysis/

ที่มา: http://www.securityweek.com/skeleton-key-malware-bypasses-authentication-ad-systems


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Intel เปิดตัว NUC 13 Pro ใหม่ ใช้หน่วยประมวลผล 13th Gen Intel Core

Intel ได้ประกาศเปิดตัว Intel NUC 13 Pro (code-named Arena Canyon) ใหม่ ใช้หน่วยประมวลผล 13th Gen Intel Core …

QNAP ออกประกาศเตือนช่องโหว่ Linux Sudo ใหม่บนอุปกรณ์ NAS

QNAP ออกประกาศเตือนช่องโหว่ Linux Sudo ใหม่บนอุปกรณ์ NAS ล่าสุดออกแพตช์อุดช่องโหว่นี้แล้วบางส่วน