Active Directory Skeleton Key Malware

All’inizio del 2015 è stato scoperto un malware denominato Skeleton Key in grado di bypassare l’autenticazione Active Directory single factor ovvero quella basata solo su utente e password consentendo all’attaccante di autenticarsi specificando una password da lui specificata.

Al momento il Dell SecureWorks Counter Threat Unit Research Team nella analisi del malware disponibile al seguente Dell SecureWorks – Skeleton Key Malware Analysis riporta di avere scoperto Skeleton Key su client di rete che utilizzano single-factor authentication per accedere a webmail e VPN.

Skeleton Key viene distribuito sotto forma di in-memory patch sui Domain Controller vittima per consentire all’attaccante di autenticarsi come un qualunque utente, mentre gli utenti legittimi possono continuare ad autenticarsi normalmente. Inoltre Skeleton Key permette il bypass dell’autenticazione anche ad attaccanti con accesso fisico a sistemi che si autenticano a Domain Controller compromessi.

L’inoculazione del malware richiede comunque la conoscenza di credenziali con privilegi di Domain Administrator in quanto occorre copiare sul Domain Controller una dll. Essendo un attacco basato tramite in-memory patch copiando la dll (che al momento sembra poter avere uno dei seguenti tre nomi ole64.dll, ole.dll e msuta64.dll) tramite rete in C:\WINDOWS\system32\ sul Domain Controller (utilizzaando ad esempio PsExec o utility simili) l’attaccante deve eseguire nuovamente il deploy ad ogni riavvio del Domain Controller. Per i dettagli di come può avvenire un attacco si veda Dell SecureWorks – Skeleton Key Malware Analysis.

Al momento sembra che il malware non sia applicabile a Domain Controller a 32 bit e a Domani Controller con Windows Server 2012 e Windows Server 2012 R2. Il malware pare abbia effetti sulla replica tra Domain Controller causando issue che implicano riavvi per ripristinare la normale funzionalità dal momento che il malware allo stato attuale non ha meccanismi di persistenza.

Skeleton Key non genera trafffico di rete quindi sistemi di network-based intrusion detection e intrusion prevention systems (IDS/IPS) non sono in grado di rilevare il malware, il Dell SecureWorks Counter Threat Unit Research Team è riuscita però a scrivere alcune YARA signatures per individuare le Skeleton Key DLL e il codice iniettato in-memory nel processo LSASS.

Per evitare l’infezione è necessario seguire le consuete best practices di sicurezza:

  • Proteggere adeguatamente le credenziali con privilegi di Domain Administrator
  • Non impostare sui client la password di Administrator coincidente con quella dell’Administrator di dominio
  • Non utilizzare credenziali con privilegi di Domain Administrator per eseguire attività di manutenzione se non strettamente necessario
  • Non utilizzare credenziali con privilegi di Domain Administrator per operare su computer che potrebbero essere infetti ed in ogni caso è preferibile utilizzare credenziali amministrative locali. In W8.1 e WS2012 R2 per maggior sicurezza è possibile utilizzare la funzionalità RestrictedAdmin Mode Remote Desktop.
  • Non utilizzare Internet o browser o programmi di posta elettronica con credenziali con privilegi di Domain Administrator e soprattutto non utilizzare tali applicativi sui Domain Controller
  • Utilizzare se possibile autenticazioni Multi-factor per tutte le soluzioni di accesso remoto (VPN, accesso remoto a mail)
  • Monitorare su workstation e server l’esecuzione imprevista di processi quali PsExec.exe, rundll32.exe
  • Monitore su Domain Controller gli eventi con ID 7045 (installazione di servizi) e con ID 7036 (avvio arresto di servizi) che possono essere indice dell’utilizzo di PsExec.exe

Per ulteriori approfondimenti sul malware e su possibili azioni per evitare l’infezione si vedano: