Ricercatori Dell riferiscono di un nuovo malware, soprannominato Skeleton Key, che possono bypassare l'autenticazione sui sistemi di Active Directory.
Il team Dell dice che la Skeleton Key consentono gli attaccanti per evitare il rilevamento da sistemi AD con l'autenticazione singolo fattore. Tali sistemi si basano solo sulle password. I cyber criminali possono scegliere qualsiasi password e login come qualsiasi utente al fine di fare ciò che vuole in linea.
Skeleton Key è stato rilevato su una rete che utilizza le password per accedere agli account di posta elettronica e servizi VPN. Una volta attivo come una patch in memoria nel controller di dominio AD del sistema, il malware dà gli attaccanti accesso illimitato ai servizi. Gli utenti possono portare avanti le loro attività senza essere consapevoli della presenza del malware nel sistema.
I ricercatori riferiscono che gli attori trattare che hanno accesso fisico alla macchina infetta può accedere e sbloccare i sistemi che autenticano gli utenti di PC contro l'annuncio infetto controller di dominio.
In questo modo i truffatori informatici possono atteggiarsi a qualsiasi utente, senza attirare l'attenzione alle loro attività o limitare l'accesso ai legittimi utenti. L'attacco è tutt'altro che sofisticata, ma può essere utilizzato per porre come responsabile dell'azienda, un direttore HR, o sostanzialmente come chiunque l'attaccante vuole impersonare senza destare sospetti. Ancora più importante, i truffatori possono assumere informazioni sensibili.
Skeleton Key non trasmette il traffico di rete, il che rende difficile essere rilevato da sistemi di prevenzione delle intrusioni IDS / IPS.
Skeleton Key ha un altro punto debole - vi è la necessità costante di riconversione per operare ogni volta che il controller di dominio viene avviato. I ricercatori ritengono che il malware è compatibile solo con le versioni di Windows a 64 bit.
I ricercatori dicono che a un certo punto gli attori minaccia utilizzati altri malware accesso remoto già attivato sulla rete della vittima di riassegnare Skeleton Key nei controller di dominio.
Per prevenire una infezione scheletro chiave, esperti consiglia di utilizzare l'autenticazione multi-factor.
Spy Hunter scanner GRATIS rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware. Per saperne di più sullo strumento SpyHunter Anti-Malware