Skeleton Key
Attacco Skeleton Key
L'attacco Skeleton Key è una tecnica sofisticata che consente agli attaccanti di eludere l'autenticazione di Active Directory iniettando una password principale nel controller di dominio. Ciò consente all'attaccante di autenticarsi come qualsiasi utente senza conoscere la loro password, concedendo loro un accesso illimitato al dominio.
Può essere eseguito utilizzando Mimikatz. Per effettuare questo attacco, sono necessari i diritti di amministratore di dominio, e l'attaccante deve prendere di mira ogni controller di dominio per garantire una violazione completa. Tuttavia, l'effetto dell'attacco è temporaneo, poiché riavviare il controller di dominio elimina il malware, rendendo necessaria una reimplementazione per un accesso continuativo.
Eseguire l'attacco richiede un singolo comando: misc::skeleton
.
Mitigazioni
Le strategie di mitigazione contro tali attacchi includono il monitoraggio di specifici ID evento che indicano l'installazione di servizi o l'uso di privilegi sensibili. In particolare, cercare l'ID evento di sistema 7045 o l'ID evento di sicurezza 4673 può rivelare attività sospette. Inoltre, eseguire lsass.exe
come processo protetto può ostacolare significativamente gli sforzi degli attaccanti, poiché ciò richiede loro di utilizzare un driver in modalità kernel, aumentando la complessità dell'attacco.
Ecco i comandi PowerShell per migliorare le misure di sicurezza:
Per rilevare l'installazione di servizi sospetti, utilizzare:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}
In particolare, per rilevare il driver di Mimikatz, può essere utilizzato il seguente comando:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}
Per rafforzare
lsass.exe
, è consigliabile abilitarlo come processo protetto:New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose
La verifica dopo un riavvio del sistema è fondamentale per garantire che le misure di protezione siano state applicate con successo. Ciò è possibile tramite: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*
Riferimenti
Last updated