Het gebruik van de StickyKeys-functie in Windows om administrator-rechten te krijgen wordt nog altijd bij echte aanvallen toegepast. Dat meldt beveiligingsbedrijf Mandiant in een analyse van de Hikit-rootkit, die bij een niet nader genoemde organisatie werd aangetroffen. Tijdens het onderzoek werd duidelijk dat de aanvallers al volledige administrator-rechten voor het gehele Windows domein hadden en talloze systemen hadden gecompromitteerd.

Mandiant ontdekte dat de aanvallers onder andere de StickKeys-techniek hadden toegepast, waarbij het bestand 'sethc.exe' door een kopie van 'cmd.exe' wordt overschreven, waardoor ongeauthenticeerde toegang tijdens RDP-logons mogelijk is. Door te zoeken naar aangepaste sethc.exe bestanden werden verschillende besmette systemen ontdekt en verdachte bestanden ontdekt.

Groepen
Verder onderzoek wees uit dat de aanvallers de Microsoft Distributed Transaction Coordinator service gebruikten om de uiteindelijke backdoor te starten. Een techniek die goed blijkt te werken. Het beveiligingsbedrijf zou inmiddels verschillende groepen hebben geïdentificeerd die zich met gerichte aanvallen bezighouden en deze techniek toepassen om verschillende malware te laden. Wat de malware precies doet maakt het binnenkort bekend.