Breaking News
AMR | Citrix Webinar: The Next New Normal

มัลแวร์ Skeleton Key กุญแจผีสำหรับไขเข้าสู่องค์กร

dell_logo

ทีมนักวิจัยที่ Dell SecureWorks’ Counter Threat Unit (CTU) ได้ค้นพบมัลแวร์ตัวใหม่ที่สามารถหลบเลี่ยงการพิสูจน์ตัวตนบนระบบ Active Directory (AD) ที่ใช้เพียงแค่รหัสผ่านให้การตรวจสอบผู้ใช้เพียงอย่างเดียว โดยตั้งชื่อมัลแวร์ตัวนี้ว่า Skeleton Key หรือก็คือกุญแจผีนั่นเอง

จากรายงานของ CTU ระบุว่า มัลแวร์ Skeleton Key ช่วยให้แฮ็คเกอร์สามารถบายพาสระบบ AD ที่ใช้การพิสูจน์ตัวตนแบบ Single-factor Authentication หรือก็คือใช้เพียงรหัสผ่านเพียงอย่างเดียวในการยืนยันตัวตนผู้ใช้ โดยแฮ็คเกอร์สามารถเลือกใช้รหัสผ่านเพื่อปลอมตัวเป็นผู้ใช้งานคนไหนก็ได้ ก่อนที่จะเข้าไปยังระบบเครือข่ายเพื่อกระทำการอื่นๆต่อไป

Credit: Julia Tim/ShutterStock
Credit: Julia Tim/ShutterStock

Skeleton Key ถูกค้นพบบนระบบเครือข่ายของลูกค้าที่ใช้รหัสผ่านในการเข้าสู่ระบบอีเมลล์และ VPN ซึ่งมัลแวร์ดังกล่าวจะถูกติดตั้งในรูปของ In-memory Patch บน AD Domain Controller ของเหยื่อโดยอาศัย Credential ของผู้ดูแลระบบโดเมน (ซึ่งอาจถูกขโมยมาจากเครื่องเซิฟเวอร์อื่น, เครื่องคอมพิวเตอร์ของผู้ดูแลระบบ หรือ Domain Controller ที่เป็นเป้าหมายก็ได้) ส่งผลให้แฮ็คเกอร์สามารถใช้เข้าถึงระบบแบบรีโมทได้ทันที เสมือนเป็นผู้ใช้งานปกติ ยากต่อการตรวจสอบว่าเป็นแฮ็คเกอร์ปลอมตัวเข้ามา ในขณะที่ผู้ใช้งานคนนั้น (และคนอื่น) ก็ยังสามารถทำงานได้ตามปกติ โดยไม่รู้ตัวเลยว่าถูกแฮ็คเกอร์สวมชื่ออยู่

อย่างไรก็ตาม ด้วยการที่เป็น In-memory Patch ส่งผลให้เมื่อรีสตาร์ท AD มัลแวร์ดังกล่าวก็จะหายไปทันที แต่นักวิจัยของ CTU เชื่อว่า หลังจากที่แฮ็คเกอร์เข้าสู่ระบบทีแรกได้แล้ว แฮ็คเกอร์จะทำการติดตั้งมัลแวร์สำหรับรีโมทไว้ที่ส่วนอื่นของระบบของเหยื่อ เพื่อให้ทำการติดตั้งมัลแวร์ Skeleton Key ใหม่อีกครั้งเมื่อ AD ถูกรีสตาร์ท

แฮ็คเกอร์ใช้เครื่องมือชื่อ PsExec ในการรัน Skeleton Key DLL แบบรีโมทบน Domain Controller ของเหยื่อผ่านทาง rundll32 command ซึ่งมัลแวร์ตัวนี้จะไม่มีการส่งทราฟฟิคออกจากระบบเครือข่าย ส่งผลให้อุปกรณ์สำหรับตรวจจับภัยคุกคามในระดับเน็ตเวิร์คไม่สามารถตรวจจับได้ อย่างไรก็ตาม มัลแวร์ดังกล่าวอาจก่อให้เกิดปัญหา Domain Replication โดยไม่ทราบสาเหตุ ทำให้ผู้ดูแลระบบสามารถทราบได้ว่า AD ของตนอาจถูก Skeleton Key โจมตีอยู่ ซึ่งวิธีแก้ปัญหาก็หนีไม่พ้นการรีสตาร์ท AD ใหม่

Dell SecureWorks แนะนำให้ทุกองค์กรใช้วิธีการพิสูจน์ตัวตนแบบ Multi-factor Authentication สำหรับทุกระบบที่ใช้งานแบบรีโมท และคอยติดตามอีเวนท์ของ Windows Service Control Manager บน AD รวมทั้งคอยเอาใจใส่การตรวจสอบ Process Creation บนเครื่องคอมพิวเตอร์และเซิฟเวอร์ ซึ่งอาจช่วยให้ตรวจจับการติดตั้ง Skeleton Key ได้

รายละเอียดเพิ่มเติม: http://www.secureworks.com/cyber-threat-intelligence/threats/skeleton-key-malware-analysis/

ที่มา: http://www.securityweek.com/skeleton-key-malware-bypasses-authentication-ad-systems



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: การเปลี่ยนแปลงครั้งสำคัญของธุรกิจเกษตรไทยตั้งแต่ผลิตไปจนถึงโต๊ะอาหาร “FROM FARM TO TABLE” ในช่วงวิกฤต Covid-19 โดย Farmbook Platform ด้วย AWS Technology

TechTalkThai ขอเรียนเชิญทุกท่านในแวดวงการเกษตร, อุตสาหกรรมอาหาร และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "การเปลี่ยนแปลงครั้งสำคัญของธุรกิจเกษตรไทยตั้งแต่ผลิตไปจนถึงโต๊ะอาหาร “FROM FARM TO TABLE” ในช่วงวิกฤต Covid-19 โดย Farmbook Platform ด้วย AWS Technology โดย Farmbook" เพื่อรับชมการวิเคราะห์แนวโน้มความเปลี่ยนแปลงที่จะเกิดขึ้นต่ออุตสาหกรรมการเกษตรที่เปลี่ยนแปลงไปจาก COVID-19 พร้อมแนวทางการนำเทคโนโลยีเข้ามาประยุกต์เสริมศักยภาพของธุรกิจในอุตสาหกรรมนี้ ในวันจันทร์ที่ 1 มิถุนายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Lenovo Webinar: Lenovo Distance Learning and Smart Classroom Solution

TechTalkThai ขอเรียนเชิญ CTO, CIO, CHRO, IT Manager, HR Manager, HR, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "Lenovo Webinar: Lenovo Distance Learning and Smart Classroom Solution" เพื่อทำความรู้จักกับเทคโนโลยีสำหรับการเรียนการสอนและการฝึกอบรมระยะไกลผ่านระบบระบบออนไลน์ เพื่อตอบโจทย์การทำ Social Distancing ด้วยโซลูชันสำเร็จรูปที่สามารถนำไปปรับแต่งให้เหมาะกับการใช้งานได้ ในวันอังคารที่ 2 มิถุนายน 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้