En Miscreants han forjado una variante de malware que es capaz de evitar la autenticación en sistemas Microsoft Active Directory (AD).
Los hackers pueden usar contraseñas arbitrarias para autenticarse como cualquier usuario corporativo, Dell SecureWorks advierte. El malware, conocido como llave del mal (Skeleton Key), se despliega como un parche en memoria en controladores de dominio de AD de la víctima, lo que permite a los hackers autenticarse como cualquier usuario, mientras que los usuarios legítimos puedan seguir utilizando sistemas de manera habitual.
Las unicas muestras de Skeleton Key descubiertas hasta ahora carecen de persistencia y debe ser redistribuido cuando se reinicia un controlador de dominio - un gran inconveniente para los malhechores. Actores malintencionados podrían ser capaces de utilizar otro tipo de malware de acceso remoto ya desplegado en la red de la víctima para volver a instalar esta llave en los controladores de dominio.
Investigadores de Dell SecureWorks CTU descubrieron la llave maestra cuando se trabaja un caso de respuesta a incidentes para una organización.
Esta llave maestra Malware requiere credenciales de administrador de dominio para la implementación inicial. Estas credenciales pueden ser robados de los servidores críticos, estaciones de trabajo de los administradores, y los controladores de dominio de destino.
Dell SecureWorks ha creado un blog para explicar el malware - y cómo detectarlo - aquí.
Fuente: TR
