Skeleton Key

Support HackTricks

Skeleton Key Attack

Der Skeleton Key Angriff ist eine ausgeklügelte Technik, die es Angreifern ermöglicht, die Active Directory-Authentifizierung zu umgehen, indem sie ein Master-Passwort in den Domänencontroller injizieren. Dies ermöglicht es dem Angreifer, sich als jeder Benutzer zu authentifizieren, ohne dessen Passwort, was ihm effektiv uneingeschränkten Zugriff auf die Domäne gewährt.

Er kann mit Mimikatz durchgeführt werden. Um diesen Angriff durchzuführen, sind Domain Admin-Rechte Voraussetzung, und der Angreifer muss jeden Domänencontroller anvisieren, um einen umfassenden Zugriff zu gewährleisten. Der Effekt des Angriffs ist jedoch vorübergehend, da ein Neustart des Domänencontrollers die Malware beseitigt, was eine erneute Implementierung für anhaltenden Zugriff erforderlich macht.

Die Ausführung des Angriffs erfordert einen einzigen Befehl: misc::skeleton.

Mitigations

Minderungsstrategien gegen solche Angriffe umfassen die Überwachung spezifischer Ereignis-IDs, die die Installation von Diensten oder die Nutzung sensibler Berechtigungen anzeigen. Insbesondere die Suche nach Systemereignis-ID 7045 oder Sicherheitsereignis-ID 4673 kann verdächtige Aktivitäten aufdecken. Darüber hinaus kann das Ausführen von lsass.exe als geschützter Prozess die Bemühungen der Angreifer erheblich behindern, da dies erfordert, dass sie einen Kernelmodus-Treiber verwenden, was die Komplexität des Angriffs erhöht.

Hier sind die PowerShell-Befehle zur Verbesserung der Sicherheitsmaßnahmen:

  • Um die Installation verdächtiger Dienste zu erkennen, verwenden Sie: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}

  • Um speziell den Treiber von Mimikatz zu erkennen, kann der folgende Befehl verwendet werden: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}

  • Um lsass.exe zu stärken, wird empfohlen, es als geschützten Prozess zu aktivieren: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

Die Überprüfung nach einem Systemneustart ist entscheidend, um sicherzustellen, dass die Schutzmaßnahmen erfolgreich angewendet wurden. Dies ist erreichbar durch: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

References

Support HackTricks

Last updated