Skeleton Key
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Η επίθεση Skeleton Key είναι μια εξελιγμένη τεχνική που επιτρέπει στους επιτιθέμενους να παρακάμψουν την αυθεντικοποίηση του Active Directory μέσω της έγχυσης ενός κύριου κωδικού πρόσβασης στον ελεγκτή τομέα. Αυτό επιτρέπει στον επιτιθέμενο να αυθεντικοποιείται ως οποιοσδήποτε χρήστης χωρίς τον κωδικό τους, παρέχοντας τους απεριόριστη πρόσβαση στον τομέα.
Μπορεί να εκτελεστεί χρησιμοποιώντας Mimikatz. Για να πραγματοποιηθεί αυτή η επίθεση, απαιτούνται δικαιώματα Domain Admin, και ο επιτιθέμενος πρέπει να στοχεύσει κάθε ελεγκτή τομέα για να διασφαλίσει μια ολοκληρωμένη παραβίαση. Ωστόσο, η επίδραση της επίθεσης είναι προσωρινή, καθώς η επανεκκίνηση του ελεγκτή τομέα εξαλείφει το κακόβουλο λογισμικό, απαιτώντας μια επαναφορά για διαρκή πρόσβαση.
Η εκτέλεση της επίθεσης απαιτεί μια μόνο εντολή: misc::skeleton
.
Οι στρατηγικές μετριασμού κατά τέτοιων επιθέσεων περιλαμβάνουν την παρακολούθηση συγκεκριμένων αναγνωριστικών γεγονότων που υποδεικνύουν την εγκατάσταση υπηρεσιών ή τη χρήση ευαίσθητων δικαιωμάτων. Συγκεκριμένα, η αναζήτηση για το Αναγνωριστικό Γεγονότος Συστήματος 7045 ή το Αναγνωριστικό Γεγονότος Ασφαλείας 4673 μπορεί να αποκαλύψει ύποπτες δραστηριότητες. Επιπλέον, η εκτέλεση του lsass.exe
ως προστατευμένη διαδικασία μπορεί να εμποδίσει σημαντικά τις προσπάθειες των επιτιθέμενων, καθώς αυτό απαιτεί να χρησιμοποιήσουν έναν οδηγό λειτουργικού πυρήνα, αυξάνοντας την πολυπλοκότητα της επίθεσης.
Ακολουθούν οι εντολές PowerShell για την ενίσχυση των μέτρων ασφαλείας:
Για να ανιχνεύσετε την εγκατάσταση ύποπτων υπηρεσιών, χρησιμοποιήστε: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}
Συγκεκριμένα, για να ανιχνεύσετε τον οδηγό του Mimikatz, μπορεί να χρησιμοποιηθεί η εξής εντολή: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}
Για να ενισχύσετε το lsass.exe
, συνιστάται να το ενεργοποιήσετε ως προστατευμένη διαδικασία: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose
Η επαλήθευση μετά από μια επανεκκίνηση του συστήματος είναι κρίσιμη για να διασφαλιστεί ότι τα προστατευτικά μέτρα έχουν εφαρμοστεί επιτυχώς. Αυτό είναι εφικτό μέσω: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)