企业的活动目录（AD）管理员们应该对特权用户的异常行为多加注意了。日前一家总部位于伦敦的跨国公司遭遇了网络间谍攻击，其中就有能够绕过AD单因子身份验证的恶意软件的身影。

黑客通过远程访问木马侵入那家公司的网络，植入名为“万能钥匙”的恶意软件取得合法的内部凭证，进而在不引发警报的情况下窃取公司数据并偷渡到外部网络。

戴尔网络安全公司SecureWorks的研究人员不会披露数据失窃公司的信息，也不会提供任何有关攻击者身份和位置的暗示。他们只表示：这不是一次网络犯罪行动，失窃文件中有部分是环太平洋地区有关组织感兴趣的。

SecureWorks技术主管Don Smith说，万能钥匙被有意设计为不长久驻留主机。它作为内存补丁安装在AD域控制器上，域控重启则失效。而实际上，AD域控制器，比如此次遭受攻击的那几台，一般是不经常重启的。

“这不是攻击者的失误。那些人有实力把程序写成长期驻留的类型。不长期驻留正表明了此次行动的隐秘本质。若要使程序在主机重启后随之启动，势必要在注册表或其他地方留下痕迹。只进驻内存，重启即失效的做法更加隐秘，可以最小化他们的攻击痕迹。他们在网络中其他地方留有后门，只在有需要的时候登门入户。”

拥有AD访问权，黑客就能取得账户密码组合，并利用这些凭证以合法用户的身份远程实施余下的攻击步骤。在上面提到的伦敦公司的例子中，他们侵入了只使用口令字对网页邮件和VPN远程登录进行身份验证的网络。一旦进入内部网络，就能利用从关键服务器、管理员工作站、域控上窃取的凭证将万能钥匙散布到此网络各处。

SecureWorks于本周发布了一份报告，其中列出了大量攻击指示器和YARA恶意软件签名。很多文件名也与万能钥匙有关，其中一个甚至喻示2012年编译的老版万能钥匙变种的存在。

攻击者一旦登录网络，便会上传万能钥匙的动态库文件（DLL）到一台已感染主机上，运用一份偷取的管理员凭证列表尝试访问域控管理员共享。若是凭证全都无效，则转而到另一台服务器、域管理员工作站或目标域控主机上部署口令窃取工具，从内存中抽取管理员密码。

万能钥匙被有意设计为不长久驻留主机；它作为内存补丁安装在AD域控制器上。

缺乏持久性并非万能钥匙显露出来的唯一弱点。它还会导致地区办事处的AD域控重写问题，而重写就要求域控制器重启。频繁重启就是攻击者在反复植入万能钥匙的迹象，同时还会伴随有PsExec或任务管理器进程的出现，这些都是需要注意的特权用户异常行为。

Smith表示：“一切都是从收集口令字开始。一旦黑客哈希注入成功，他们就可以在整个网络中漫步，使用任意用户名和口令巡视其中每一台主机。坏家伙们利用远程访问随意通过身份验证。我认为这显示出此类攻击是一种长期的网络间谍活动。受害组织的网络里有太多的东西可寻，他们想尽量保持低调以避免被发现，因而所有的间谍活动都以普通用户的名义执行。防御一方的一大挑战就是需要留心异常的用户行为，而这一点并不容易做到。”