'Skeleton Key' - odkryto nowego szkodnika malware

Poszukiwacze zagrożeń z firmy Dell odkryli szkodnika malware, który infekuje Active Directory - usługę katalogową bazy danych, która powszechnie używana jest w wydaniach Windows Server.

"Szkieletowy klucz" umożliwia cyberprzestępcom dostanie się z folderów dzięki fałszywym certyfikatom, a z nich mają już otwarty dostęp do sieci firmowej. Szkodnik ten łatwo dostaje się do sieci, gdzie dostęp wymaga tylko jednego uwierzytelnienia. Infekcja pozwala także hakerom na kontrolowanie usług, jednocześnie nie będąc widoczną. Dzięki temu możliwe jest między innymi tworzenie kont użytkowników oraz przypisywanie im uprawnień. Oczywiście nie trzeba wyjaśniać skali zagrożenia, jaką wywołuje dostanie się obcego do sieci. Jest jednak pewien pozytywny aspekt - Skeleton Key działa tylko na wersjach 64-bit Windowsa, a gdy kontroler domeny zostanie zresetowany, malware przestaje funkcjonować.

Wykrycie szkodnika utrudnia fakt, że nie powoduje on ruchu sieciowego, przez co nie widzą go systemy ochrony IDS/IPS. Jego obecność można wykryć, znajdując w systemie pliki msuta64.dll i/lub ole64.dll. Eksperci Della twierdzą, że na atak szkodnika najmniej narażone są sieci, do których dostęp jest wymaga dwustopniowego uwierzytelnienia.

Zobacz również:


Zobacz również