Einmal als In-Memory-Patch im AD-Domain-Controller des Systems installiert, ermöglichte die Schadsoftware Angreifern uneingeschränkten Zugang zu Fernzugriffsdiensten. Zugleich waren legitime Nutzer in der Lage, normal mit dem System weiterzuarbeiten, ohne sich der Präsenz der Malware bewusst zu sein. Laut Sicherheitsexperten von Dell SecureWorks erlaubt die Authentifizierungsumgehung der Malware Angreifern mit physischem Zugang, sich anzumelden und Systeme zu entsperren, die Nutzer mittels des kompromittierten AD-Domain-Controllers zu authentifizieren. Auch wenn Angreifer Admin-Zugang zum Netzwerk benötigten, könnten sie sich als beliebiger Nutzer ausgeben, ohne andere zu alarmieren oder den Zugang rechtmäßiger User einzuschränken.
Allerdings hat Dell SecureWorks auch einige Schwachstellen von Skeleton Key ausgemacht. So muss die Software bei jedem Start des Domain-Controllers neu eingespielt werden, damit sie weiterhin funktioniert. Außerdem gehen die Sicherheitsforscher davon aus, dass Skeleton Key ausschließlich zu 64-Bit-Versionen von Windows kompatibel ist. “Zwischen acht Stunden und acht Tagen nach einem Neustart nutzten Angreifer andere Fernzugriff-Malware, die bereits im Netzwerk des Opfers installiert war, um Skeleton Key erneut im Domain Controller zu installieren.”
Die Malware überträgt keinen Netzwerkverkehr, sodass sie nur schwer von IDS/IPS Intrusion Prevention Systems zu entdecken ist. Domain-Replizierungsprobleme können jedoch ein Anzeichen für eine Infektion sein. In diesen Fällen wird ein Neustart benötigt, um die Probleme zu beheben. Der beste Schutz vor einer Malware wie Skeleton Key ist jedoch die Verwendung einer Multi-Faktor-Authentifizierung.