还记得我们曾经讨论过“密码已死”吗?如果你觉得需要更多的证据,那么戴尔公司安全部门(SecureWorks)发现的这款名为“万能钥匙”(Skeleton Key)的恶意软件,一定能够刷新你的三观。由于其结合了在活动目录中安装流氓软件的方式,攻击者将能够在无需进一步验证的情况下,以域内任意用户的身份“登录”。
值得注意的是,在恶意软件的安装阶段,需要被授予管理员权限、或者通过服务器上的某个漏洞而实现。
不过,这把“万能钥匙”实际上并未将自己主动安装至文件系统。相反,它只是作为活动目录(Active Directory)的一个内存补丁的形式而存在。
糟糕的是,这种“访问”并不会被记录在案,这使得对它的检测变得更加困难——即使通过传统的网络监控手段也难以识别出这款恶意软件(因为它根本不产生任何网络流量)。
好消息是,截至目前,该恶意软件并不会在重启系统后存活(未来就难说了)。此外,由于需要在安装时被授予管理员权限,因此大家最好还是在操作时多留个心眼。
当然,研究人员的建议是,由于该恶意软件在面对双因素认证时毫无用处(比如连接至服务器、虚拟专用网、以及电子邮件),因此大家最好还是不要把密码作为唯一主要的安全手段。