HackTricksSkeleton Key
Reading time: 3 minutes
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Skeleton Key Attack
Η επίθεση Skeleton Key είναι μια προηγμένη τεχνική που επιτρέπει στους επιτιθέμενους να παρακάμψουν την αυθεντικοποίηση Active Directory μέσω της εισαγωγής ενός κύριου κωδικού πρόσβασης στον ελεγκτή τομέα. Αυτό επιτρέπει στον επιτιθέμενο να αυθεντικοποιείται ως οποιοσδήποτε χρήστης χωρίς τον κωδικό τους, παρέχοντας τους απεριόριστη πρόσβαση στον τομέα.
Μπορεί να εκτελεστεί χρησιμοποιώντας Mimikatz. Για να πραγματοποιηθεί αυτή η επίθεση, τα δικαιώματα Domain Admin είναι προαπαιτούμενα, και ο επιτιθέμενος πρέπει να στοχεύσει κάθε ελεγκτή τομέα για να διασφαλίσει μια ολοκληρωμένη παραβίαση. Ωστόσο, η επίδραση της επίθεσης είναι προσωρινή, καθώς η επανεκκίνηση του ελεγκτή τομέα εξαλείφει το κακόβουλο λογισμικό, απαιτώντας μια επαναλαμβανόμενη εφαρμογή για διαρκή πρόσβαση.
Η εκτέλεση της επίθεσης απαιτεί μια μόνο εντολή: misc::skeleton.
Mitigations
Οι στρατηγικές μετριασμού κατά τέτοιων επιθέσεων περιλαμβάνουν την παρακολούθηση συγκεκριμένων αναγνωριστικών γεγονότων που υποδεικνύουν την εγκατάσταση υπηρεσιών ή τη χρήση ευαίσθητων δικαιωμάτων. Συγκεκριμένα, η αναζήτηση για το Αναγνωριστικό Γεγονότος Συστήματος 7045 ή το Αναγνωριστικό Γεγονότος Ασφαλείας 4673 μπορεί να αποκαλύψει ύποπτες δραστηριότητες. Επιπλέον, η εκτέλεση του lsass.exe ως προστατευμένη διαδικασία μπορεί να εμποδίσει σημαντικά τις προσπάθειες των επιτιθέμενων, καθώς αυτό απαιτεί να χρησιμοποιήσουν έναν οδηγό λειτουργικού πυρήνα, αυξάνοντας την πολυπλοκότητα της επίθεσης.
Ακολουθούν οι εντολές PowerShell για την ενίσχυση των μέτρων ασφαλείας:
-
Για να ανιχνεύσετε την εγκατάσταση ύποπτων υπηρεσιών, χρησιμοποιήστε:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"} -
Συγκεκριμένα, για να ανιχνεύσετε τον οδηγό του Mimikatz, μπορεί να χρησιμοποιηθεί η εξής εντολή:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"} -
Για να ενισχύσετε το
lsass.exe, συνιστάται να το ενεργοποιήσετε ως προστατευμένη διαδικασία:New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose
Η επαλήθευση μετά από μια επανεκκίνηση του συστήματος είναι κρίσιμη για να διασφαλιστεί ότι τα προστατευτικά μέτρα έχουν εφαρμοστεί επιτυχώς. Αυτό είναι εφικτό μέσω: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*
References
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.