别让“万能钥匙”打开你的系统大门

IT之家（www.ithome.com）：别让“万能钥匙”打开你的系统大门

IT之家讯 1月14日消息，戴尔 SecureWorks Counter Threat Unit(TM) (CTU) 安全小组发现一个名为Skeleton Key“万能钥匙”的恶意软件。该程序包含了安装在Active Directory的流氓软件，这个软件可以在安装后允许攻击者以任何合法用户的身份免认证登录服务器系统。值得注意的是，该软件的安装要求管理员权限或者利用服务器漏洞取得类似权限。

有趣的是，“万能钥匙”不是真的安装在文件系统中，只是驻留Active Directory内存进程，这使得对其查杀更加困难。更困难的是，这一程序没有登录动作并且完全保持静默，所以用传统方法极难检测。

受影响的64位服务器系统：

? Windows 2008 R2

? Windows Server 2008

? Windows 2003 R2

不过，也有比较简单的方式可以和它对抗，那就是重启系统。因为对于内存的程序和数据来说，断电就意味着彻底消失。而且，要求管理员权限的行为本身就限制了其攻击行为。不仅如此，戴尔的研究人员表示，“万能钥匙”只能感染64位的Windows系统。如果服务器采用两种以上的认证方式，该恶意软件的影响就大大降低。所以采用多重认证并且及时重启系统是抵抗这种恶意程序的有效方式。（Source：SecureWorks）

来源：IT之家