阻止万能钥匙恶意软件导致数据泄露

一种新的恶意软件正在成为头条新闻，证明了“犯罪分子从不睡觉”的古老格言。这种名为 Skeleton Key 的恶意软件于 1 月中旬检测到，它绕过了 Active Directory 的密码身份验证保护。正如上世纪的万能钥匙可以打开建筑物中的任何门一样，万能钥匙恶意软件也可以解锁对组织中任何受 AD 保护的资源的访问。了解万能钥匙以及预防、检测和修复方法将使 IT 管理员能够应对这一最新的安全威胁。

AD 是许多组织网络安全的基石。它几乎与所有类型的 IT 系统普遍集成。从标准文件服务器到金融系统再到 VPN 集中器，AD 通常是验证用户名和密码的组件。万能密钥安装在 AD 域控制器上，使攻击者能够以任何 AD 用户身份进行身份验证。域用户、域管理员，甚至企业管理员都同样受到损害。确实是可怕的东西！

有两个关键属性可抑制万能钥匙感染的传播。该恶意软件需要直接访问域控制器才能安装，并且安装后仅驻留在内存中。需要域控制器访问意味着在安装万能钥匙之前必须使用其他方法破坏 DC。万能钥匙很可能会与其他恶意软件一起传播。最初的恶意软件打开了 DC 的大门，允许 Skeleton Key 炸开攻击者对整个 AD 保护网络的访问权限。最近在感染后门.Winnti 的系统上发现了万能钥匙，证明了这一点。 backdoor.Winnti 木马可能为万能钥匙安装创建了后门访问。

万能钥匙是一个内存补丁。这使得恶意软件仅驻留在内存中。 DC 的简单重启就会从内存中擦除万能钥匙，需要重新安装。不幸的是，DC 的重新启动通常需要数周甚至数月的时间。重新启动后重新感染的可能性取决于万能钥匙附带的恶意软件。经过轻微修改，后门.Winnti 等特洛伊木马可能会在 DC 重新启动后自动重新感染万能钥匙。

针对万能钥匙的最佳防御是多方面的。从基础知识开始，包括在网络中的所有系统上安装 Windows 更新和更新恶意软件防护。 Microsoft 可能随时发布妨碍万能钥匙有效性的补丁。恶意软件防护除了检测受感染 DC 内存中的万能钥匙之外，还可以检测其他威胁，例如网络上的 backdoor.Winnti。

定期重新启动域控制器会清除内存中的万能钥匙。精心设计的 AD 环境具有多个 DC，允许在网络不停机的情况下重新启动。具有单个 DC 的环境应安排在非工作时间重新启动。重新启动并不能防止重新感染，但需要攻击者更加努力才能通过万能钥匙维持对网络的访问。

使用稳健的审计。万能钥匙利用 PSExec 来破坏系统。 PSExec 在使用时记录事件 ID 7045 和 7036。审核这些 ID 的事件日志将有助于识别 PSExec 实用程序的恶意使用与预期使用。还可以审核网络上任何位置使用域或企业管理员凭据的所有登录。安装万能钥匙需要域管理员权限或更高权限。由于这些高级登录应该受到限制，因此识别异常登录活动可以快速识别感染。同样，监视域和企业管理员帐户的意外密码更改可能会暴露工作中的攻击者。

实施多重身份验证。万能钥匙仅绕过基于单因素密码的身份验证。如果使用第二个因素，例如生物识别或令牌，则万能钥匙无效。虽然实施多因素身份验证需要一些投资，但其好处是广泛的。

万能钥匙造成严重破坏的潜力是巨大的。万能钥匙感染使攻击者能够访问机密文件、敏感电子邮件，甚至强大的金融系统。勤奋的 IT 专业人员现在必须采取明智的措施，防止他们的组织成为万能钥匙案例研究。