"Skeleton Key" برنامج خبيث يفتح شبكات الشركات

  

ان الاداة المكتشفة حديثا "Skeleton Key" من البرمجيات الخبيثة فهي قادرة على الالتفاف على المصادقة على أنظمة الدليل النشط، وفقا للباحثين "ديل".

نشر فريق وحدة التهديد ديل سيكيور عداد (CTU) النتائج التي توصلوا إليها في إشعار الاستشاري هذا الاسبوع.

ووفقا للباحثين في الأمن، و"Skeleton Key" البرمجيات الخبيثة يسمح مجرمي الإنترنت لتجاوز أنظمة AD التي تنفذ فقط عامل التوثيق واحدة - وبعبارة أخرى، الأنظمة التي تعتمد على كلمات المرور وحدها للأمن. ويقول الفريق ان القراصنة يمكنهم استخدام كلمة مرور من اختيارهم لمصادقة كأي مستخدم - قبل الغوص في الشبكة والقيام كما يشاؤون.

تم اكتشاف Skeleton Key على شبكة العميل الذي يستخدم كلمات السر للوصول إلى البريد الإلكتروني وخدمات VPN. في البرمجيات الخبيثة، بمجرد نشرهم باعتبارها التصحيح في الذاكرة على وحدة تحكم مجال النظامAD ، أعطى لمجرمي الإنترنت الوصول غير المقيد إلى خدمات الوصول البعيد. ومع ذلك، خدمات المستخدمين الشرعيين قادرة على الاستمرار  كالمعتاد - مع جهل وجود البرامج الضارة أو الانتحال.

"Skeleton Key"  يسمح للفاعلين بالتهديد مع الوصول الفعلي إلى تسجيل الدخول وفتح الأنظمة التي مصادقة المستخدمين ضد وحدات تحكم المجال ADتؤدي للخطر" ويقول الباحثون CTU.
 أن المهاجم يحتاج بالفعل الوصولإلى مشرف الشبكة، فإنه يمكن أن تشكل خطرا على النحو أي مستخدم دون تنبيه الآخرين أو تقييد وصول المستخدمين الشرعيين. 
يجب أن يكون موظف ساخط أو شخص مع نوايا خبيثة، ويمكنني أن استخدام البرمجيات الخبيثة الى ما تشكله مدير الموارد البشرية أو الحسابات والوصول إلى البيانات الشخصية للموظفين والشركاء ويحتمل أن تكون للعملاء دون إثارة الشكوك. ويمكنني أن أدعي أن يكون عضوا في مجلس إدارة ببساطة في الوصول إلى البريد الإلكتروني الخاص بي أو تبحث على البيانات المالية في الشركة. 

في هذه الأيام، والمتسكعين في التعامل المعلومات - وسيستغرق الامر واحد فقط رشوة الموظف  لتوفير مثل هذه البيانات، وذلك باستخدام البرمجيات الخبيثة لمنع الكشف.

ومع ذلك، هناك نقطة ضعف أخرى داخل البرمجيات الخبيثة - الحاجة إلى إعادة الانتشار المستمر لتشغيل كل مرة يتم تشغيل وحدة تحكم المجال. ويعتقد Skeleton Key أيضا ليكون فقط متوافق مع 64 بت إصدارات ويندوز.

ما بين ثماني ساعات وثمانية أيام من إعادة تشغيل، استخدمت الجهات الفاعلة التهديد غيرها من البرامج الضارة الوصول عن بعد نشرها بالفعل على شبكة الضحية لإعادة توزيعSkeleton Key على وحدات تحكم المجال، ويقول الفريق الأمني.


البرمجيات الخبيثة لا تنقل حركة مرور الشبكة، لذلك قد يكون أكثر صعوبة للكشف من قبل أنظمة منع الاختراق IDS / IPS - على الرغم من أنها قد تورطت في مشكلات النسخ المتماثل النطاق التي قد تشير إلى وجود عدوى. في هذه الحالات، لا بد من إعادة تمهيد للحل المشكلة. لمنع البرامج الضارة من التأثير على الشبكة، ومصادقة متعددة العوامل هو أفضل وسيلة للمضي قدما.