Skeleton Key-malware is sleutel tot bedrijfsnetwerken
De Dell Secureworks Counter Threat Unit (CTU) heeft details onthuld over een nieuw soort malware. Met Skeleton Key kunnen cybercriminelen inbreken op Active Directory-systemen die alleen maar enkelvoudige authenticatie gebruiken, zoals wachtwoorden.
Volgens Dell kunnen hackers eender welk wachtwoord kiezen dat ze willen om in het netwerk te geraken en daar hun gang te gaan. De onderzoekers ontdekten Skeleton Key op het netwerk van een cliënt, die enkel wachtwoorden gebruikte om toegang te krijgen tot e-mail en VPN-diensten.
[related_article id=”161920″]
Eens de malware uitgerold wordt als een geheugen-patch op de Active Directory-server, ligt de weg vrij naar de remote access-diensten. Legitieme gebruikers kunnen werken zoals altijd, zonder dat ze in de gaten hebben dat er iets aan de hand is.
Geen argwaan wekken
Hoewel er beheerdersrechten nodig zijn om de malware te gebruiken, kunnen hackers zich dus voordoen als eender welke gebruiker, zonder argwaan te wekken. Een boze werknemer of andere persoon met kwade bedoelingen kan dus doen alsof hij de HR-manager is en alle persoonlijke data van werknemers of potentiële klanten inkijken.
Heden ten dage is bedrijfsinformatie handelswaar geworden voor hackers. Een mol binnen een bedrijf die steekpenningen krijgt betaald, is dus voldoende om aan die data te geraken, zonder dat iemand het ooit in de gaten krijgt.
Nadelen van Skeleton Key
Er zijn ook wel enkele nadelen aan Skeleton Key. Telkens de Active Domain-server wordt heropgestart, moet de malware terug geïnstalleerd worden. Skeleton Key zou ook enkel compatibel zijn met 64 bit-versies van Windows. Het eerste nadeel wordt alvast opgevangen door andere malware in te zetten om Skeleton Key weer aan de praat te krijgen na een herstart, zegt Dell.
Meertraps authenticatie gebruiken
De malware stuurt geen netwerkverkeer door en is dus niet zo makkelijk te detecteren met IDS/IPS-systemen. De beste manier om de software de pas af te snijden, is door meertrapsauthenticatiesystemen te gebruiken, waarbij de gebruiker niet alleen een wachtwoord moet ingeven, maar bijvoorbeeld ook een code die door zijn smartphone wordt gegenereerd.