Skeleton Key

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS HackTricks)!

Autres façons de soutenir HackTricks :

Attaque Skeleton Key

L'attaque Skeleton Key est une technique sophistiquée qui permet aux attaquants de contourner l'authentification Active Directory en injectant un mot de passe maître dans le contrôleur de domaine. Cela permet à l'attaquant de s'authentifier en tant que n'importe quel utilisateur sans leur mot de passe, lui accordant ainsi un accès illimité au domaine.

Elle peut être réalisée en utilisant Mimikatz. Pour mener à bien cette attaque, les droits d'administrateur de domaine sont requis, et l'attaquant doit cibler chaque contrôleur de domaine pour garantir une violation complète. Cependant, l'effet de l'attaque est temporaire, car redémarrer le contrôleur de domaine éradique le logiciel malveillant, nécessitant une réimplémentation pour un accès soutenu.

L'exécution de l'attaque nécessite une seule commande : misc::skeleton.

Atténuation

Les stratégies d'atténuation contre de telles attaques incluent la surveillance des ID d'événements spécifiques indiquant l'installation de services ou l'utilisation de privilèges sensibles. En particulier, rechercher l'ID d'événement système 7045 ou l'ID d'événement sécurité 4673 peut révéler des activités suspectes. De plus, exécuter lsass.exe en tant que processus protégé peut considérablement entraver les efforts des attaquants, car cela les oblige à utiliser un pilote en mode noyau, augmentant la complexité de l'attaque.

Voici les commandes PowerShell pour renforcer les mesures de sécurité :

  • Pour détecter l'installation de services suspects, utilisez : Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Pilote en mode noyau*"}

  • Plus spécifiquement, pour détecter le pilote de Mimikatz, la commande suivante peut être utilisée : Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Pilote en mode noyau*" -and $_.message -like "*mimidrv*"}

  • Pour renforcer lsass.exe, il est recommandé de l'activer en tant que processus protégé : New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

Il est crucial de vérifier après un redémarrage du système que les mesures de protection ont été appliquées avec succès. Cela est réalisable via : Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*processus protégé*

Références

Last updated