破解 Active Directory 惡意程式 Skeleton Key 出現

大企業都會以 Windows 作為檔案伺服器,並使用 Active Directory 認證用戶身份。然而最近就出現一個惡意程式 Skeleton Key ,可繞過 Active Directory 認證機制,不需登入也可存取檔案。20150117key02
這個漏洞由 Dell SecureWorks 發現,Dell SecureWorks 其實就是 Dell 在2011年收購的優化安全委外管理服務供應商(Managed Security Services Provider; MSSP) SecureWorks。Skeleton Key 的惡意程式會在作為 Active Directory 的 Domain Controller 的 Windows 主機的記憶體中常駐,繞過 Active Directory 認證機制直接存取檔案。由於一般用戶仍然可正常登入,因此極難被發現。Dell SecureWorks 公開了被 Skeleton Key 感染的系統檔案樣本 ole64.dll 和 msuta64.dll ,一如其名,Skeleton Key 目前只會感染64bit版本的 Windows 。換言之如果用 Linux 下的 Samba 取代作為 Active Directory 的 Domain Controller 的 Windows 主機,便不會被感染。20150117key01

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *