Skeleton Key
Skeleton Key Attack
Skeleton Key攻撃は、攻撃者がドメインコントローラーにマスターパスワードを注入することによってActive Directory認証をバイパスする高度な技術です。これにより、攻撃者は任意のユーザーとして認証できるようになり、実質的にドメインへの無制限のアクセスを付与します。
この攻撃はMimikatzを使用して実行できます。この攻撃を実行するには、ドメイン管理者権限が前提条件であり、攻撃者は包括的な侵害を確実にするために各ドメインコントローラーをターゲットにする必要があります。ただし、攻撃の効果は一時的であり、ドメインコントローラーを再起動するとマルウェアが消去されるため、持続的なアクセスのためには再実装が必要です。
攻撃を実行するには、単一のコマンドが必要です:misc::skeleton。
Mitigations
このような攻撃に対する緩和策には、サービスのインストールや敏感な特権の使用を示す特定のイベントIDを監視することが含まれます。具体的には、システムイベントID 7045またはセキュリティイベントID 4673を探すことで、疑わしい活動を明らかにできます。さらに、lsass.exeを保護されたプロセスとして実行することで、攻撃者の努力を大幅に妨げることができ、これによりカーネルモードドライバーを使用する必要が生じ、攻撃の複雑さが増します。
セキュリティ対策を強化するためのPowerShellコマンドは以下の通りです:
疑わしいサービスのインストールを検出するには、次のコマンドを使用します:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}特にMimikatzのドライバーを検出するには、次のコマンドを利用できます:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}lsass.exeを強化するためには、保護されたプロセスとして有効にすることが推奨されます:New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose
システム再起動後の検証は、保護措置が正常に適用されたことを確認するために重要です。これは次のコマンドで実現できます:Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*
References
Last updated
