Skeleton Key

ゼロからヒーローまでAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください！
公式PEASS＆HackTricksグッズを入手する
The PEASS Familyを発見し、独占的なNFTコレクションをご覧ください
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦でフォローする：@carlospolopm。
ハッキングトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

Skeleton Key Attack

スケルトンキー攻撃は、攻撃者がドメインコントローラーにマスターパスワードを注入することで、Active Directory認証をバイパスし、任意のユーザーとして認証できるようにする高度な技術です。これにより、攻撃者はパスワードなしで任意のユーザーとして認証され、ドメインへの無制限アクセスが可能となります。

これはMimikatzを使用して実行できます。この攻撃を実行するには、ドメイン管理者権限が前提条件であり、攻撃者は包括的な侵害を確保するために各ドメインコントローラーを対象にする必要があります。ただし、攻撃の効果は一時的であり、ドメインコントローラーを再起動するとマルウェアが消去され、持続的なアクセスのために再実装する必要があります。

攻撃の実行には、misc::skeletonという1つのコマンドが必要です。

緩和策

このような攻撃に対する緩和策には、サービスのインストールや機密特権の使用を示す特定のイベントIDを監視することが含まれます。具体的には、SystemイベントID 7045またはSecurityイベントID 4673を探すことで、不審な活動を明らかにすることができます。さらに、lsass.exeを保護されたプロセスとして実行することは、攻撃者の努力を大幅に妨げることができます。これには、カーネルモードドライバーを使用する必要があるため、攻撃の複雑さが増します。

以下はセキュリティ対策を強化するためのPowerShellコマンドです：

疑わしいサービスのインストールを検出するには、次のコマンドを使用します：Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}
特にMimikatzのドライバーを検出するには、次のコマンドを利用できます：Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}
lsass.exeを強化するために、保護されたプロセスとして有効にすることをお勧めします：New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

システムの再起動後に保護措置が正常に適用されたことを確認することは重要です。これは次のコマンドで実現できます：Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

参考文献

https://blog.netwrix.com/2022/11/29/skeleton-key-attack-active-directory/

PreviousSilver Ticket NextUnconstrained Delegation

Last updated 3 months ago