デルの研究者が新しいマルウェアについて報告, 吹き替えのスケルトンキー, ActiveDirectoryシステムでの認証をバイパスできます.
デルのチームによると、スケルトンキーを使用すると、攻撃者は単一要素認証を使用したADシステムによる検出を回避できます。. このようなシステムはパスワードのみに依存しています. サイバー犯罪者は、オンラインで好きなことをするために、任意のパスワードを選択し、任意のユーザーとしてログインできます。.
Skeleton Keyは、パスワードを使用して電子メールアカウントとVPNサービスにアクセスするネットワークで最初に検出されました. システムのADドメインコントローラでメモリ内パッチとしてアクティブになると, マルウェアは攻撃者にサービスへの無制限のアクセスを提供します. ユーザーは、システム内のマルウェアの存在に気付かずに活動を続けることができます.
研究者は、感染したマシンに物理的にアクセスできるアクターを処理すると、感染したADドメインコントローラーに対してPCユーザーを認証するシステムにログインしてロックを解除できると報告しています。.
このようにして、サイバー詐欺師は、自分の活動に注意を向けたり、正当なユーザーのアクセスを制限したりすることなく、任意のユーザーになりすますことができます。. 攻撃は洗練されたものではありません, しかし、それは会社のマネージャーを装うために使用することができます, 人事部長, または基本的に、攻撃者が疑惑を提起することなく偽装したい人として. さらに重要なことには, 詐欺師は機密情報を引き継ぐことができます.
SkeletonKeyはネットワークトラフィックを送信しません, これにより、IDS/IPS侵入防止システムによる検出が困難になります.
Skeleton Keyには、もう1つの弱点があります。ドメインコントローラーが起動するたびに、再デプロイを実行する必要があります。. 研究者は、マルウェアは64ビットのWindowsバージョンとのみ互換性があると考えています.
研究者によると、ある時点で、攻撃者は被害者のネットワークですでにアクティブ化されている他のリモートアクセスマルウェアを使用して、ドメインコントローラーにSkeletonKeyを再デプロイしました。.
SkeletonKey感染を防ぐため, 専門家は多要素認証の使用を推奨しています.
スパイハンター無料スキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります. SpyHunterマルウェア対策ツールの詳細をご覧ください
