Skeleton Key

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

Atak Skeleton Key

Atak Skeleton Key to zaawansowana technika, która umożliwia atakującym ominięcie uwierzytelniania Active Directory poprzez wstrzyknięcie hasła głównego do kontrolera domeny. Pozwala to atakującemu uwierzytelniać się jako dowolny użytkownik bez znajomości jego hasła, co efektywnie daje mu nieograniczony dostęp do domeny.

Może być przeprowadzany za pomocą narzędzia Mimikatz. Aby przeprowadzić ten atak, wymagane są uprawnienia Domain Admin, a atakujący musi skierować swoje działania na każdy kontroler domeny, aby zapewnić kompleksowe naruszenie. Jednak skutki ataku są tymczasowe, ponieważ ponowne uruchomienie kontrolera domeny usuwa złośliwe oprogramowanie, co wymaga ponownej implementacji w celu uzyskania trwałego dostępu.

Wykonanie ataku wymaga jednej komendy: misc::skeleton.

Środki zaradcze

Strategie łagodzenia takich ataków obejmują monitorowanie określonych identyfikatorów zdarzeń, które wskazują na instalację usług lub wykorzystanie poufnych uprawnień. Szczególnie warto zwrócić uwagę na identyfikator zdarzenia systemowego 7045 lub identyfikator zdarzenia zabezpieczeń 4673, które mogą ujawnić podejrzane działania. Dodatkowo, uruchomienie lsass.exe jako chronionego procesu może znacznie utrudnić działania atakujących, ponieważ wymaga od nich użycia sterownika trybu jądra, co zwiększa złożoność ataku.

Oto polecenia PowerShell, które zwiększają środki bezpieczeństwa:

Aby wykryć instalację podejrzanych usług, użyj: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}
W szczególności, aby wykryć sterownik Mimikatz, można użyć następującego polecenia: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}
Aby wzmocnić lsass.exe, zaleca się włączenie go jako chronionego procesu: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

Weryfikacja po ponownym uruchomieniu systemu jest kluczowa, aby upewnić się, że środki ochronne zostały skutecznie zastosowane. Można to osiągnąć za pomocą: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

Odwołania

https://blog.netwrix.com/2022/11/29/skeleton-key-attack-active-directory/

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

PreviousSilver Ticket NextUnconstrained Delegation

Last updated 2 months ago