Skeleton Key
Skeleton Key Attack
Skeleton Key हमला एक जटिल तकनीक है जो हमलावरों को Active Directory प्रमाणीकरण को बायपास करने की अनुमति देती है, डोमेन कंट्रोलर में एक मास्टर पासवर्ड इंजेक्ट करके। यह हमलावर को किसी भी उपयोगकर्ता के रूप में प्रमाणीकरण करने में सक्षम बनाता है बिना उनके पासवर्ड के, प्रभावी रूप से उन्हें डोमेन तक असीमित पहुंच प्रदान करता है।
इसे Mimikatz का उपयोग करके किया जा सकता है। इस हमले को अंजाम देने के लिए, डोमेन एडमिन अधिकार आवश्यक हैं, और हमलावर को प्रत्येक डोमेन कंट्रोलर को लक्षित करना होगा ताकि एक व्यापक उल्लंघन सुनिश्चित हो सके। हालाँकि, हमले का प्रभाव अस्थायी है, क्योंकि डोमेन कंट्रोलर को पुनरारंभ करने से मैलवेयर समाप्त हो जाता है, जिससे निरंतर पहुंच के लिए पुनः कार्यान्वयन की आवश्यकता होती है।
हमले को अंजाम देने के लिए एक ही कमांड की आवश्यकता होती है: misc::skeleton
.
Mitigations
ऐसे हमलों के खिलाफ निवारण रणनीतियों में उन विशिष्ट इवेंट आईडी की निगरानी करना शामिल है जो सेवाओं की स्थापना या संवेदनशील विशेषाधिकारों के उपयोग को इंगित करते हैं। विशेष रूप से, सिस्टम इवेंट आईडी 7045 या सुरक्षा इवेंट आईडी 4673 की तलाश करना संदिग्ध गतिविधियों को प्रकट कर सकता है। इसके अतिरिक्त, lsass.exe
को एक संरक्षित प्रक्रिया के रूप में चलाना हमलावरों के प्रयासों को काफी बाधित कर सकता है, क्योंकि इसके लिए उन्हें एक कर्नेल मोड ड्राइवर का उपयोग करना आवश्यक है, जिससे हमले की जटिलता बढ़ जाती है।
यहाँ सुरक्षा उपायों को बढ़ाने के लिए PowerShell कमांड हैं:
संदिग्ध सेवाओं की स्थापना का पता लगाने के लिए, उपयोग करें:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}
विशेष रूप से, Mimikatz के ड्राइवर का पता लगाने के लिए, निम्नलिखित कमांड का उपयोग किया जा सकता है:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}
lsass.exe
को मजबूत करने के लिए, इसे एक संरक्षित प्रक्रिया के रूप में सक्षम करना अनुशंसित है:New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose
सिस्टम पुनरारंभ के बाद सत्यापन करना महत्वपूर्ण है यह सुनिश्चित करने के लिए कि सुरक्षा उपाय सफलतापूर्वक लागू किए गए हैं। यह किया जा सकता है: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*
References
Last updated