Dell onderzoekers verslag over een nieuw stuk malware, nagesynchroniseerde Skeleton Key, die authenticatie op Active Directory-systemen kunnen omzeilen.
Het Dell-team zegt dat de Skeleton Key laat de aanvallers om detectie te vermijden door AD-systemen met een enkele factor authenticatie. Dergelijke systemen zijn gebaseerd alleen op wachtwoorden. De cybercriminelen kan elk wachtwoord en login als elke gebruiker te halen, om te doen wat ze online te behagen.
Skeleton Key werd voor het eerst ontdekt op een netwerk dat wachtwoorden gebruikt voor toegang tot e-mailaccounts en VPN-diensten. Eenmaal actief als een in-memory patch op de AD-domein-controller van het systeem, de malware geeft de aanvallers onbeperkte toegang tot diensten. De gebruikers kunnen gaan met hun activiteiten zonder zich bewust van de aanwezigheid van de malware in het systeem.
De onderzoekers melden dat traktatie actoren die fysieke toegang tot de geïnfecteerde machine kan inloggen en ontgrendelen systemen die pc-gebruikers te authenticeren tegen de geïnfecteerde AD domeincontrollers.
Op deze manier de cyber criminelen kunnen voordoen als een gebruiker zonder de aandacht op hun activiteiten of de toegang van de legitieme gebruikers te beperken. De aanval is allesbehalve verfijnd, maar het kan worden gebruikt om zich als manager bedrijf, een HR-directeur, of eigenlijk zoals iedereen de aanvaller wil imiteren onverdacht. Belangrijker, de boeven kan over gevoelige informatie te nemen.
Skeleton Key niet netwerkverkeer uitzenden, waardoor het moeilijk is om te worden gedetecteerd door IDS / IPS intrusion prevention systemen.
Skeleton Key heeft nog een zwak punt - er is een constante behoefte aan een herschikking om elke keer dat de domeincontroller wordt gestart bedienen. Onderzoekers geloven dat de malware is alleen compatibel met 64-bits versies van Windows.
De onderzoekers zeggen dat op een gegeven moment de dreiging acteurs gebruikt andere remote access malware die al op het netwerk van het slachtoffer geactiveerd om Loper op de domeincontrollers herschikken.
Om een Skeleton Key infectie te voorkomen, experts raden het gebruik van multi-factor authenticatie.
Spy Hunter GRATIS scanner wordt alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen. Ontdek meer over SpyHunter Anti-Malware Tool