Skeleton Key

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Skeleton Key Attack

Skeleton Key攻撃は、攻撃者がドメインコントローラーにマスターパスワードを注入することによってActive Directory認証をバイパスする高度な技術です。これにより、攻撃者は任意のユーザーとして認証できるようになり、実質的にドメインへの無制限のアクセスを付与します。

この攻撃はMimikatzを使用して実行できます。この攻撃を実行するには、ドメイン管理者権限が前提条件であり、攻撃者は包括的な侵害を確実にするために各ドメインコントローラーをターゲットにする必要があります。ただし、攻撃の効果は一時的であり、ドメインコントローラーを再起動するとマルウェアが消去されるため、持続的なアクセスのためには再実装が必要です。

攻撃を実行するには、単一のコマンドが必要です:misc::skeleton

Mitigations

このような攻撃に対する緩和策には、サービスのインストールや敏感な特権の使用を示す特定のイベントIDを監視することが含まれます。具体的には、システムイベントID 7045またはセキュリティイベントID 4673を探すことで、疑わしい活動を明らかにできます。さらに、lsass.exeを保護されたプロセスとして実行することで、攻撃者の努力を大幅に妨げることができ、これによりカーネルモードドライバーを使用する必要が生じ、攻撃の複雑さが増します。

セキュリティ対策を強化するためのPowerShellコマンドは以下の通りです:

  • 疑わしいサービスのインストールを検出するには、次のコマンドを使用します:Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}

  • 特にMimikatzのドライバーを検出するには、次のコマンドを利用できます:Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}

  • lsass.exeを強化するためには、保護されたプロセスとして有効にすることが推奨されます:New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

システム再起動後の検証は、保護措置が正常に適用されたことを確認するために重要です。これは次のコマンドで実現できます:Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

References

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Last updated