👌🏾 👩🏻‍⚕️ ⛹🏾 कंकाल कुंजी मैलवेयर विश्लेषण ⛪️ 🐻 👝

लेख का अनुवाद विशेष रूप से रिवर्स इंजीनियरिंग पाठ्यक्रम के छात्रों के लिए तैयार किया गया था।

सारांश

डेल सिक्योरवर्क्स काउंटर थ्रेट यूनिट (सीटीयू) के शोधकर्ताओं ने मैलवेयर खोजा है जो सक्रिय निर्देशिका (AD) सिस्टम में प्रमाणीकरण को दरकिनार करता है जो एकल-कारक (केवल पासवर्ड) प्रमाणीकरण को लागू करते हैं। हमलावर किसी भी उपयोगकर्ता के रूप में प्रमाणीकरण के लिए अपनी पसंद के पासवर्ड का उपयोग कर सकते हैं। इस मैलवेयर को "कंकाल कुंजी" (सार्वभौमिक कुंजी) कहा जाता है।

CTU शोधकर्ताओं ने एक ग्राहक नेटवर्क पर कंकाल कुंजी की खोज की, जिसने वेबमेल और वीपीएन तक पहुंचने के लिए एकल-कारक प्रमाणीकरण का उपयोग किया, जिससे हमलावरों को रिमोट एक्सेस सेवाओं तक पहुंच नहीं मिल पाई। कंकाल कुंजी को पीड़ित के AD डोमेन नियंत्रकों पर किसी भी उपयोगकर्ता के रूप में प्रमाणित करने की अनुमति देने के लिए पीड़ित के AD डोमेन नियंत्रकों पर स्मृति के रूप में तैनात किया जाता है, जबकि वैध उपयोगकर्ता सामान्य रूप से प्रमाणीकरण जारी रखते हैं। कंकाल कुंजी प्रमाणीकरण बायपास भौतिक प्रवेश हमलावरों को भी लॉग इन करने और सिस्टम को अनलॉक करने की अनुमति देता है जो उपयोगकर्ताओं को समझौता किए गए AD डोमेन नियंत्रकों पर प्रमाणित करते हैं।

प्रकाशन के समय ज्ञात एकमात्र कंकाल कुंजी के नमूने में निरंतरता का अभाव था - डोमेन नियंत्रक के पुनरारंभ होने पर उन्हें फिर से तैयार किया जाना चाहिए। सीटीयू शोधकर्ताओं को संदेह है कि हमलावर केवल सफलतापूर्वक प्रमाणित करने में असमर्थता के आधार पर पुनः आरंभ की पहचान कर सकते हैं, क्योंकि डोमेन नियंत्रक पर कोई अन्य मैलवेयर नहीं पाया गया था। पुनरारंभ से आठ घंटे और आठ दिनों के बीच, हमलावरों ने कंकाल कुंजी को डोमेन नियंत्रकों को फिर से तैयार करने के लिए पीड़ित के नेटवर्क पर पहले से ही तैनात अन्य रिमोट एक्सेस मालवेयर का उपयोग किया।

कंकाल कुंजी तैनाती के लिए डोमेन व्यवस्थापक क्रेडेंशियल्स की आवश्यकता होती है। सीटीयू शोधकर्ताओं ने हमलावरों को मिशन-क्रिटिकल सर्वर, एडमिनिस्ट्रेटिव वर्कस्टेशन से चोरी किए गए क्रेडेंशियल्स और डोमेन नियंत्रकों को निशाना बनाते हुए कंकाल की तैनाती करते हुए देखा।

के विश्लेषण

प्रारंभ में, सीटीयू के शोधकर्ताओं ने एक कंकालित नमूना देखा, जिसे एक समझौता किए गए नेटवर्क में ole64.dll कहा जाता है (तालिका 1 देखें)।

गुण	अर्थ या विवरण
फ़ाइल का नाम	ole64.dll
md5	bf45086e6334f647fda33576e2a05826
SHA1	5083b17ccc50dd0557dfc544f84e2ab55d6acd92
संकलन समय	2014-02-19 09:31:29
तैनात	आवश्यकतानुसार (आमतौर पर मैलवेयर का उपयोग करके डाउनलोड किया जाता है, और फिर उपयोग के बाद हटा दिया जाता है)
फ़ाइल का आकार	49664 बाइट्स
मंच	.text, .rdata, .data, .pdata, .rsrc, .reloc
निर्यात	ii (पैच स्थापित करता है) uu (पैच निकालता है) Dllentrypoint (डिफ़ॉल्ट dll प्रविष्टि बिंदु)

तालिका 1. नमूना कंकाल कुंजी ole64.dll ।

ole64.dll अध्ययन करते ole64.dll , CTU शोधकर्ताओं ने पीड़ित के नेटवर्क में "मध्यवर्ती होस्ट" पर msuta64.dll का एक पुराना संस्करण msuta64.dll (तालिका 2 देखें)। एक मध्यवर्ती होस्ट किसी भी सिस्टम से पहले दुर्भावनापूर्ण रिमोट एक्सेस मालवेयर द्वारा समझौता किया जाता है। इस विकल्प में अतिरिक्त डिबगिंग ऑपरेटर शामिल हैं जो कंकाल कुंजी डेवलपर को पैच प्रक्रिया में शामिल मेमोरी पतों का निरीक्षण करने की अनुमति देते हैं।

गुण	अर्थ या विवरण
फ़ाइल का नाम	msuta64.dll
md5	66da7ed621149975f6e643b4f9886cfd
SHA1	ad61e8daeeba43e442514b177a1b41ad4b7c6727
संकलन समय	2012-09-20 08:07:12
तैनात	2013-09-29 07:58:16
फ़ाइल का आकार	50688 बाइट्स
मंच	.text, .rdata, .data, .pdata, .rsrc, .reloc
निर्यात	ii (पैच स्थापित करता है) uu (पैच निकालता है) Dllentrypoint (डिफ़ॉल्ट dll प्रविष्टि बिंदु)

तालिका 2. नमूना कंकाल कुंजी msuta64.dll ।

हमलावरों ने कंकाल कुंजी को 64-बिट DLL फ़ाइल के रूप में परिनियोजित करने के लिए निम्न एल्गोरिथम का उपयोग किया:

पीड़ित नेटवर्क पर मचान मेजबान पर स्टेजिंग निर्देशिका के लिए कंकाल कुंजी DLL फ़ाइल डाउनलोड करें। CTU शोधकर्ताओं ने कंकाल की DLL फ़ाइल से जुड़े तीन फ़ाइल नामों का अवलोकन किया: ole64.dll, ole.dll और msuta64.dll। विंडोज सिस्टम में वैध ole32.dll फ़ाइल शामिल है, लेकिन यह इस मैलवेयर से संबंधित नहीं है।
चोरी हुए डोमेन व्यवस्थापक क्रेडेंशियल्स की सूची का उपयोग करके डोमेन नियंत्रकों पर प्रशासनिक संसाधनों तक पहुंचने का प्रयास करें।
यदि चोरी किए गए क्रेडेंशियल अब मान्य नहीं हैं, तो निम्न स्थानों में से किसी एक से स्पष्ट पाठ में डोमेन व्यवस्थापक के पासवर्ड को निकालने के लिए पासवर्ड चोरी के उपकरणों का उपयोग करें, जो पीड़ित के पर्यावरण के साथ परिचितता का अर्थ है:
- पीड़ित नेटवर्क पर एक और उपलब्ध सर्वर की स्मृति
- डोमेन व्यवस्थापक नौकरियां
- डोमेन नियंत्रकों को लक्षित करें
- लक्ष्य डोमेन नियंत्रकों पर C: \ WINDOWS \ system32 \ के लिए कंकाल कुंजी DLL की प्रतिलिपि बनाने के लिए मान्य डोमेन व्यवस्थापक क्रेडेंशियल्स का उपयोग करें।
Rundll32 कमांड का उपयोग करके लक्ष्य डोमेन नियंत्रकों पर कंकाल कुंजी DLL फ़ाइल को दूरस्थ रूप से चलाने के लिए PsExec उपयोगिता का उपयोग करें। हमलावर द्वारा चुना गया पासवर्ड NTLM हैश पासवर्ड के रूप में स्वरूपित किया गया है, और इसे स्पष्ट पाठ में प्रस्तुत नहीं किया गया है। कंकाल कुंजी को तैनात करने के बाद, हमलावर कॉन्फ़िगर किए गए NTLM: psexec -accepteula \\% TARGET-DC% rundll32 < DLL> ii < NTLM> पासवर्ड हैश का उपयोग करके किसी भी उपयोगकर्ता के रूप में प्रमाणित कर सकता है NTLM: psexec -accepteula \\% TARGET-DC% rundll32 < DLL> ii < NTLM>
लक्ष्य डोमेन नियंत्रकों पर C: \ WINDOWS \ system32 \ से कंकाल कुंजी DLL फ़ाइल हटाएं।
संक्रमण मेजबान पर मंचन निर्देशिका से कंकाल कुंजी DLL फ़ाइल को हटाएँ।
कॉन्फ़िगर किए गए NTLMh से मेल खाता AD और खाते के साथ "नेट उपयोग" आदेशों का उपयोग करके कंकाल कुंजी की सफल तैनाती का परीक्षण करें।

सीटीयू शोधकर्ताओं ने एक एम्बेडेड पासवर्ड पैटर्न की खोज की जो बताता है कि हमलावरों के एक समूह ने कई संगठनों में कंकाल की कुंजी तैनात की है।

उपयोगिता द्वारा उत्पन्न विंडोज घटनाओं के बारे में चेतावनी देकर PsExec के उपयोग का पता Windows वातावरण में लगाया जा सकता है। निम्न ईवेंट पहचानकर्ता, जो लक्ष्य डोमेन नियंत्रकों पर देखे जाते हैं, PsExec उपकरण को पंजीकृत करता है जो इसकी सेवा स्थापित करता है, सेवा शुरू करता है, और सेवा को रोकता है। जब भी PsExec का उपयोग किया जाता है, तो ये घटनाएँ उत्पन्न होती हैं, इसलिए यह निर्धारित करने के लिए घटनाओं का एक अतिरिक्त विश्लेषण आवश्यक है कि क्या वे दुर्भावनापूर्ण या वैध हैं:

AD डोमेन नियंत्रकों पर अनपेक्षित PSEXESVC सेवा स्थापना ईवेंट (ईवेंट कोड 7045):

लॉग नाम : सिस्टम
स्रोत : सेवा नियंत्रण प्रबंधक
सारांश : सिस्टम पर एक सेवा स्थापित है।
सेवा फ़ाइल नाम :
%SystemRoot%\PSEXESVC.exe
AD डोमेन नियंत्रकों पर अनपेक्षित PSEXESVC सेवा प्रारंभ (इवेंट कोड 7036) रोकें:

लॉग नाम : सिस्टम
स्रोत : सेवा नियंत्रण प्रबंधक
सारांश :
- "PSEXESVC सेवा चालू है।"
- "PSEXESVC सेवा ने एक रुकी हुई अवस्था में संक्रमण किया है।"

एक चल रहे राज्य में एक कंकाल कुंजी के रूप में, आपको निम्नलिखित कार्य करने की आवश्यकता है:

Windows के निम्न संगत 64-बिट संस्करणों में से एक के लिए जाँच करें। मैलवेयर विंडोज के 32-बिट संस्करणों या विंडोज सर्वर के संस्करणों के साथ संगत नहीं है जो विंडोज सर्वर 2012 (6.2) से शुरू होता है।
- 6.1 (Windows 2008 R2)
- 6.0 (विंडोज सर्वर 2008)
- 5.2 (Windows 2003 R2)
स्थानीय सुरक्षा सबसिस्टम (LSASS) सेवा प्रक्रिया को लिखने के लिए आवश्यक व्यवस्थापक अधिकार प्राप्त करने के लिए SeDebugPrivilege फ़ंक्शन का उपयोग करें। यह प्रक्रिया AD डोमेन के लिए उपयोगकर्ता खाता प्रमाणीकरण सहित सुरक्षा सुविधाओं को नियंत्रित करती है।
LSASS प्रक्रिया संभाल पाने के लिए उपलब्ध प्रक्रियाओं को सूचीबद्ध करें।
तय किए गए प्रमाणीकरण संबंधित कार्यों के लिए पते प्राप्त करें:
- CDLocateCSystem - cryptdll.dll में स्थित है
- SamiretrieveMultiplePrimaryCredentials - samsrv.dll में स्थित है
- SamiretrievePrimaryCredentials - samsrv.dll में स्थित है
चरण 1 में संगतता जाँच के दौरान वैश्विक चर सेट का उपयोग करके विशिष्ट ओएस के लिए सेटिंग्स बनाएं।
LSASS प्रक्रिया संभाल पाने के लिए OpenProcess फ़ंक्शन का उपयोग करें।
एलएसएएसएस प्रक्रिया की मेमोरी को संपादित करने और पैच करने के लिए आवश्यक मेमोरी स्पेस आरक्षित और आवंटित करें।
ऑपरेटिंग सिस्टम पर आधारित संबंधित कार्य पैचिंग:
- CDLocateCSystem (विंडोज के सभी संगत संस्करण)
- SamiretrieveMultiplePrimaryCredentials (केवल Windows 2008 R2 (6.1))
- SamiretrievePrimaryCredentials (Windows 2008 R2 (6.1) को छोड़कर Windows के सभी संगत संस्करण)

प्रत्येक फ़ंक्शन को ठीक करने के लिए:

VirtualProtectEx फ़ंक्शन को आवश्यक मेमोरी आवंटन को लिखने की अनुमति देने के लिए मेमोरी प्रोटेक्शन को बदलने के लिए कॉल करें (PAGE_EXECUTE_READWRITE, 0x40)। यह चरण आपको फ़ंक्शन कोड को मेमोरी में अपडेट करने की अनुमति देता है।
लक्ष्य फ़ंक्शन का पता बदलने के लिए WriteProcessMemory फ़ंक्शन को कॉल करें ताकि यह सही कोड को इंगित करे। यह परिवर्तन पैच का उपयोग करने के लिए फ़ंक्शन कॉल का कारण बनता है।
मूल स्मृति सुरक्षा झंडे के साथ VirtualProtectEx को लागू करके मूल स्मृति सुरक्षा को पुनर्स्थापित करें। रिकॉर्डिंग और निष्पादन के लिए स्मृति के संदिग्ध आवंटन से बचने के लिए यह कदम आवश्यक है।

पैचिंग के बाद, एक हमलावर किसी भी डोमेन उपयोगकर्ता के रूप में लॉग इन करने के लिए परिनियोजन के दौरान कॉन्फ़िगर किए गए कंकाल कुंजी पासवर्ड का उपयोग कर सकता है। वैध उपयोगकर्ता अभी भी अपने पासवर्ड का उपयोग कर लॉग इन कर सकते हैं। यह प्रमाणीकरण बायपास एक तरफ़ा AD प्रमाणीकरण का उपयोग करके सभी सेवाओं पर लागू होता है, जैसे कि वेबमेल और वीपीएन, और कीबोर्ड पर एक एम्बेडेड पासवर्ड दर्ज करके कंप्यूटर को अनलॉक करने के लिए एक समझौता प्रणाली के लिए भौतिक पहुंच के साथ एक हमलावर को भी अनुमति देता है।

डोमेन प्रतिकृति मुद्दों के साथ संभव सहयोग

दुर्भावनापूर्ण कोड कंकाल कुंजी नेटवर्क ट्रैफ़िक को संचारित नहीं करती है, जो नेटवर्क-आधारित खोज को अप्रभावी बनाती है। हालाँकि, इस मैलवेयर को डोमेन प्रतिकृति समस्याओं में फंसाया गया है जो संक्रमण का संकेत दे सकता है। सीटू शोधकर्ताओं द्वारा पता चला कंकाल कुंजी मैलवेयर के प्रत्येक तैनाती के तुरंत बाद, डोमेन नियंत्रकों को प्रतिकृति समस्याओं का सामना करना पड़ा, जिन्हें Microsoft समर्थन द्वारा समझाया या हल नहीं किया जा सकता था, और अंततः उन्हें हल करने के लिए एक रिबूट की आवश्यकता थी। इन रिबूट ने कंकाल कुंजी प्रमाणीकरण बाईपास को हटा दिया क्योंकि मैलवेयर में दृढ़ता तंत्र नहीं है। अंजीर में। चित्रा 1 इन रिबूट की समयरेखा, साथ ही घुसपैठियों द्वारा पासवर्ड की चोरी, पार्श्व विस्तार और कंकाल की तैनाती को दर्शाता है। रिबूट के बाद कुछ घंटों या कई दिनों के बाद आम तौर पर रिलोकेशन होता है।

चित्रा 1. तैनाती और रिबूट संबंध CTU शोधकर्ताओं द्वारा देखा गया, अप्रैल - जुलाई 2014 (स्रोत: डेल सिक्योरवर्क्स)

countermeasures

दुर्भावनापूर्ण कोड कंकाल कुंजी प्रमाणीकरण को बायपास करती है और नेटवर्क ट्रैफ़िक उत्पन्न नहीं करती है। नतीजतन, नेटवर्क घुसपैठ का पता लगाने और रोकथाम प्रणाली (आईडीएस / आईपीएस) इस खतरे का पता नहीं लगाएगा। हालांकि, CTU शोधकर्ताओं ने कंकाल कुंजी DLL की खोज करने के लिए परिशिष्ट A में YARA हस्ताक्षर लिखे और कोड जो कि LSASS प्रक्रिया मेमोरी में प्रवेश करता है।

संकेतक का खतरा

तालिका 3 में खतरे के संकेतक का उपयोग कंकाल कुंजी मैलवेयर से संबंधित गतिविधि का पता लगाने के लिए किया जा सकता है।

सूचक	टाइप	प्रसंग
66da7ed621149975f6e643b4f9886cfd	md5 हैश	कंकाल कुंजी पैच msuta64.dll
ad61e8daeeba43e442514b177a1b41ad4b7c6727	sha1 हैश	कंकाल कुंजी पैच msuta64.dll
bf45086e6334f647fda33576e2a05826	md5 हैश	कंकाल कुंजी पैच ole64.dl
5083b17ccc50dd0557dfc544f84e2ab55d6acd92	sha1 हैश	कंकाल कुंजी पैच ole64.dl

तालिका 3. कंकाल की कुंजी के लिए संकेतक।

निष्कर्ष

CTU अनुसंधान समूह संगठनों की सिफारिश करता है कि निम्नलिखित कंकाल प्रमुख सुरक्षा सुविधाओं को लागू करें:

वीपीएन और रिमोट ई-मेल सहित सभी रिमोट एक्सेस समाधानों के लिए बहु-कारक प्रमाणीकरण, चोरी किए गए स्थिर क्रेडेंशियल्स का उपयोग करके एकल-कारक प्रमाणीकरण या प्रमाणीकरण को खतरे में डालने वाले अभिनेताओं को अनुमति नहीं देता है।
AD डोमेन नियंत्रकों सहित वर्कस्टेशन और सर्वर पर एक प्रक्रिया निर्माण ऑडिट लॉग, कंकाल कुंजी तैनाती का पता लगा सकता है। विशेष रूप से, संगठनों को निम्नलिखित कलाकृतियों की तलाश करनी चाहिए:
- अनपेक्षित PsExec.exe प्रक्रियाएँ और PsExec "-accepteula" कमांड लाइन तर्क का उपयोग
- अनपेक्षित rundll32.exe प्रक्रियाएँ
- NTLM हैश कोड (नंबर 0-9 और AF वर्ण वाले 32 वर्ण) के समान तर्क वितर्क करें
AD डोमेन नियंत्रकों पर Windows सेवा प्रबंधक ईवेंट की निगरानी करना PSEXESVC PsExec सेवा के लिए अनपेक्षित सर्विस इंस्टॉलेशन इवेंट्स (इवेंट कोड 7045) और स्टार्ट / स्टॉप इवेंट्स (इवेंट कोड 7036) का पता लगा सकता है।

परिशिष्ट A - YARA हस्ताक्षर

निम्न YARA हस्ताक्षर सिस्टम में एक संदिग्ध फ़ाइल या सक्रिय निर्देशिका डोमेन नियंत्रकों की मेमोरी डंप, संभवतः कंकाल कुंजी से स्कैन करके एक कंकाल कुंजी की उपस्थिति का पता लगाते हैं।

 rule skeleton_key_patcher { strings: $target_process = "lsass.exe" wide $dll1 = "cryptdll.dll" $dll2 = "samsrv.dll" $name = "HookDC.dll" $patched1 = "CDLocateCSystem" $patched2 = "SamIRetrievePrimaryCredentials" $patched3 = "SamIRetrieveMultiplePrimaryCredentials" condition: all of them } rule skeleton_key_injected_code { strings: $injected = { 33 C0 85 C9 0F 95 C0 48 8B 8C 24 40 01 00 00 48 33 CC E8 4D 02 00 00 48 81 C4 58 01 00 00 C3 } $patch_CDLocateCSystem = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 8B FA 8B F1 E8 ?? ?? ?? ?? 48 8B D7 8B CE 48 8B D8 FF 50 10 44 8B D8 85 C0 0F 88 A5 00 00 00 48 85 FF 0F 84 9C 00 00 00 83 FE 17 0F 85 93 00 00 00 48 8B 07 48 85 C0 0F 84 84 00 00 00 48 83 BB 48 01 00 00 00 75 73 48 89 83 48 01 00 00 33 D2 } $patch_SamIRetrievePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 49 8B F9 49 8B F0 48 8B DA 48 8B E9 48 85 D2 74 2A 48 8B 42 08 48 85 C0 74 21 66 83 3A 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 14 E8 ?? ?? ?? ?? 4C 8B CF 4C 8B C6 48 8B D3 48 8B CD FF 50 18 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 } $patch_SamIRetrieveMultiplePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 41 8B F9 49 8B D8 8B F2 8B E9 4D 85 C0 74 2B 49 8B 40 08 48 85 C0 74 22 66 41 83 38 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 12 E8 ?? ?? ?? ?? 44 8B CF 4C 8B C3 8B D6 8B CD FF 50 20 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 } condition: any of them }

कंकाल कुंजी मैलवेयर विश्लेषण