SKELETON KEY

Novootkriveni malware otključava mreže

14.01.2015 u 17:06

Bionic
Reading

Dell SecureWorks Counter Threat Unit je nedavno objavio kako su otkrili 'Skeleton Key' maliciozni kod, koji kriminalcima može omogućiti premošćivanje AD (Active Directory) sustava koji koriste samo jednostupanjsku ovjeru, tj. sustave koji za zaštitu koriste tek lozinku

Skeleton Key je otkriven u istraživanju na mreži koja koristi lozinke za pristup e-mail i VPN uslugama. Jednom kada se malware aktivira, cyberkriminalcima pruža neometan daljinski pristup drugim servisima. Obični korisnici u praksi samo rade dalje, nesvjesni da ih malware uspješno imitira.

Zanimljivo je da se ovaj komad softvera zapravo ne instalira na datotečni sustav, već radi u obliku memorijskog patcha na Active Directoryju, čime ga je iznimno teško otkriti. Zapravo, identifikacija korištenjem uobičajenih alata za praćenje rada mreže postaje nemoguća, jer samostalno ne stvara nikakav mrežni promet. Način na koji Skeleton Key radi mu je ujedno i glavni nedostatak - malware ne može preživjeti resetiranje sustava jer ga se tako uklanja iz memorije.

Istraživači upozoravaju da je neovisno o tome zapravo jedino pravo rješenje korištenje dvostupanjske ovjere.