Dell SecureWorksが、Active Directoryのドメインコントローラを利用してパスワードなしでユーザー認証を突破するマルウェア『Skeleton Key』を公表しました。
http://www.secureworks.com/cyber-threat-intelligence/threats/skeleton-key-malware-analysis/
このマルウェアは、ドメインコントローラのメモリパッチに潜み、ネットワークにログインするユーザーの使用状況をモニタリングし、任意のユーザーに偽装して認証を突破します。
ログインされたコンピュータは外部からの操作も可能になります。
このマルウェアを潜ませるには、Active Directoryのドメインコントローラの管理者権限を必要とします。
そのため、別の方法で管理者権限を取得したと思われます。
本マルウェアは定期的な再起動によって防ぐことができます。
自動起動ではメモリ上に展開されず、再デプロイが必要です。
しかし、犯人は別のマルウェアを利用して再デプロイするような対策も取っているようです。
今回のマルウェアは、Windowsを利用している中規模以上の会社やWindowsServerのHA構成を利用している会社であればActive Directoryを利用しているため、被害候補は非常に多いことが想定されます。
間違いない対策としては、Microsoft AzureのAzure Active Directoryに移行することです。
通常のActive DirectoryとAzure Active Directoryでは、ドメインコントローラの考え方がまったく違うため、防ぐことが想定されます。
0 件のコメント:
コメントを投稿