Investigadores han descubierto una pieza de malware llamada Skeleton Key, la cual salta la autenticación en Controladores de Dominio Active Directory (AD) que hacen uso de autenticación de un solo factor.

El lunes, la unidad contra amenazas Dell SecureWorks (CTU) publicó un análisis detallado de Skeleton Key. El malware fue encontrado en una red cliente que hace uso de autenticación de un solo factor para ingresar a servicios de correo y VPN, un escenario que permitió a los atacantes acceso remoto a los servicios sin ninguna restricción.

"Skeleton Key es desarrollado como un parche en los controladores de dominio AD de las víctimas, permite al atacante autenticarse como cualquier usuario mientras que los usuarios legítimos pueden continuar autenticándose de manera normal", dijeron los investigadores acerca de las capacidades del malware. "El salto de autenticación de Skeleton Key también permite a atacantes con acceso físico iniciar sesión y desbloquear sistemas que autentican usuarios contra los controladores de dominio AD."

Al analizar el malware, los investigadores hallaron dos variantes del mismo, la primera llamada ole64.dll, encontrada en la red comprometida de la compañía víctima, y una versión más antigua llamada msuta64.dll que cuenta con capacidades de debuggeo, permitiendo a los atacantes ver direcciones de memoria de los procesos de la víctima, dijo la CTU.

Para desarrollar el malware, los atacantes deben contar primero con credenciales de administrador de dominio. "Los investigadores de la CTU han observado implementaciones de Skeleton Key haciendo uso de credenciales robadas de servidores críticos, equipos de administradores y controladores de dominio".

El jueves durante una entrevista con le portal SCMagazine, Don Smith, director de tecnología de la CTU, explicó que la organización objetivo, una compañía global ubicada en Londres, fue infectada con un troyano de acceso remoto (RAT) con el fin de dar a los atacantes entrada continua.

"Dado lo que sabemos acerca de la organización, es muy probable que haya un spear phishing involucrado", dijo Smith, hablando sobre un posible escenario de cómo los atacantes pudieron haber obtenido credenciales de administrador.

"Definitivamente fue un ataque dirigido", Smith continuó y añadió que los autores mantienen un conjunto de credenciales de administrador para el ataque, que podrían ser "constantemente renovadas" si es necesario. Smith también dijo a SCMagazine.com  que los ataques de Skeleton Key podrían caracterizarse como una campaña de ciberespionaje y que la variante de malware más antigua parece tener alrededor de dos años.