Skeleton Key

AWS hackleme becerilerinizi sıfırdan kahraman seviyesine çıkarın htARTE (HackTricks AWS Kırmızı Takım Uzmanı)ile!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARINI kontrol edin!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'yi keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'u takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.

Skeleton Key Saldırısı

Skeleton Key saldırısı, saldırganların bir ana parola enjekte ederek etkin dizin kimlik doğrulamasını atlamalarına olanak tanıyan sofistike bir tekniktir. Bu, saldırganın herhangi bir kullanıcı olarak parola olmadan kimlik doğrulama yapmasına ve etkin dizine sınırsız erişim sağlamasına olanak tanır.

Bu saldırı Mimikatz kullanılarak gerçekleştirilebilir. Bu saldırıyı gerçekleştirmek için Etki Alanı Yöneticisi hakları gereklidir ve saldırganın kapsamlı bir ihlal için her etkin dizin denetleyicisini hedeflemesi gerekir. Bununla birlikte, saldırının etkisi geçicidir, çünkü etkin dizin denetleyicisinin yeniden başlatılması kötü amaçlı yazılımı ortadan kaldırır ve sürekli erişim için yeniden uygulama gerektirir.

Saldırıyı gerçekleştirmek için tek bir komut gereklidir: misc::skeleton.

Hafifletme

Bu tür saldırılara karşı hafifletme stratejileri, hizmetlerin kurulumunu veya hassas yetkilerin kullanımını gösteren belirli olay kimliklerini izlemeyi içerir. Özellikle, Sistem Olay Kimliği 7045 veya Güvenlik Olay Kimliği 4673'ü aramak şüpheli faaliyetleri ortaya çıkarabilir. Ayrıca, saldırganların çabalarını önemli ölçüde engellemek için lsass.exe'yi korumalı bir süreç olarak çalıştırmak da önerilir, çünkü bu, saldırının karmaşıklığını artıran bir çekirdek mod sürücüsü kullanmalarını gerektirir.

İşte güvenlik önlemlerini geliştirmek için PowerShell komutları:

Şüpheli hizmetlerin kurulumunu tespit etmek için şu komutu kullanın: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}
Özellikle Mimikatz'ın sürücüsünü tespit etmek için aşağıdaki komut kullanılabilir: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}
lsass.exe'yi güçlendirmek için, onu korumalı bir süreç olarak etkinleştirmek önerilir: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

Koruyucu önlemlerin başarıyla uygulandığını doğrulamak için sistem yeniden başlatmasından sonra doğrulama önemlidir. Bunun için şu komut kullanılabilir: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

Referanslar

https://blog.netwrix.com/2022/11/29/skeleton-key-attack-active-directory/

AWS hackleme becerilerinizi sıfırdan kahraman seviyesine çıkarın htARTE (HackTricks AWS Kırmızı Takım Uzmanı)ile!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARINI kontrol edin!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'yi keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'u takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.

PreviousSilver Ticket NextUnconstrained Delegation

Last updated 2 months ago