Skeleton Key

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

Skeleton Key-Angriff

Der Skeleton Key-Angriff ist eine ausgeklügelte Technik, die es Angreifern ermöglicht, die Active Directory-Authentifizierung zu umgehen, indem sie ein Master-Passwort in den Domänencontroller einschleusen. Dadurch kann der Angreifer sich als beliebiger Benutzer authentifizieren, ohne deren Passwort zu kennen, und erhält effektiv uneingeschränkten Zugriff auf die Domäne.

Dies kann mit Mimikatz durchgeführt werden. Um diesen Angriff durchzuführen, sind Domänenadministratorrechte erforderlich, und der Angreifer muss jeden Domänencontroller ins Visier nehmen, um einen umfassenden Einbruch zu gewährleisten. Die Wirkung des Angriffs ist jedoch vorübergehend, da das Neustarten des Domänencontrollers die Malware beseitigt, was eine erneute Implementierung für dauerhaften Zugriff erforderlich macht.

Die Ausführung des Angriffs erfordert einen einzigen Befehl: misc::skeleton.

Abwehrmaßnahmen

Zu den Abwehrstrategien gegen solche Angriffe gehört die Überwachung bestimmter Ereignis-IDs, die auf die Installation von Diensten oder die Verwendung sensibler Berechtigungen hinweisen. Insbesondere das Suchen nach System-Ereignis-ID 7045 oder Sicherheits-Ereignis-ID 4673 kann verdächtige Aktivitäten aufdecken. Darüber hinaus kann das Ausführen von lsass.exe als geschützter Prozess die Bemühungen der Angreifer erheblich behindern, da sie einen Kernelmodustreiber verwenden müssen, was die Komplexität des Angriffs erhöht.

Hier sind die PowerShell-Befehle zur Verbesserung der Sicherheitsmaßnahmen:

Um die Installation verdächtiger Dienste zu erkennen, verwenden Sie: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}
Speziell zur Erkennung des Treibers von Mimikatz kann der folgende Befehl verwendet werden: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}
Zur Stärkung von lsass.exe wird empfohlen, es als geschützten Prozess zu aktivieren: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

Die Überprüfung nach einem Systemneustart ist entscheidend, um sicherzustellen, dass die Schutzmaßnahmen erfolgreich angewendet wurden. Dies kann mit folgendem Befehl erreicht werden: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

Referenzen

https://blog.netwrix.com/2022/11/29/skeleton-key-attack-active-directory/

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

PreviousSilver Ticket NextUnconstrained Delegation

Last updated 2 months ago