Skeleton Key
Shambulio la Skeleton Key
Shambulio la Skeleton Key ni mbinu ya kisasa ambayo inaruhusu wadukuzi kukiuka uthibitishaji wa Active Directory kwa kuingiza nenosiri kuu kwenye kisimamizi cha kikoa. Hii inawezesha mshambuliaji kuwa uthibitisho kama mtumiaji yeyote bila nenosiri lao, kwa ufanisi kuwapa ufikiaji usiozuiliwa kwenye kikoa.
Inaweza kutekelezwa kwa kutumia Mimikatz. Kutekeleza shambulio hili kunahitaji haki za Msimamizi wa Kikoa, na mshambuliaji lazima alenge kila kisimamizi cha kikoa ili kuhakikisha ukiukaji kamili. Walakini, athari ya shambulio ni ya muda, kwani kuanzisha upya kwa kisimamizi cha kikoa kunasafisha programu hasidi, na hivyo kuhitaji utekelezaji upya kwa ufikiaji endelevu.
Kutekeleza shambulio kunahitaji amri moja tu: misc::skeleton
.
Kupunguza Athari
Mbinu za kupunguza athari za shambulio kama hizi ni pamoja na kufuatilia nambari maalum za tukio ambazo zinaonyesha ufungaji wa huduma au matumizi ya mamlaka nyeti. Hasa, kutafuta Tukio la Mfumo ID 7045 au Tukio la Usalama ID 4673 kunaweza kufichua shughuli za shaka. Kwa kuongezea, kukimbia lsass.exe
kama mchakato uliolindwa kunaweza kuzuia sana juhudi za wadukuzi, kwani hii inahitaji watumie dereva wa mode ya kernel, ikiongeza ugumu wa shambulio.
Hapa kuna amri za PowerShell za kuimarisha hatua za usalama:
Ili kugundua ufungaji wa huduma za shaka, tumia:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}
Hasa, ili kugundua dereva wa Mimikatz, amri ifuatayo inaweza kutumika:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}
Ili kuimarisha
lsass.exe
, inashauriwa kuwezesha kama mchakato uliolindwa:New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose
Uhakiki baada ya kuanzisha upya kwa mfumo ni muhimu ili kuhakikisha kuwa hatua za kinga zimefanikiwa kutumika. Hii inaweza kufanikiwa kupitia: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*
Marejeo
Last updated