HackTricksSkeleton Key
tip
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Ataque de Skeleton Key
El ataque de Skeleton Key es una t茅cnica sofisticada que permite a los atacantes eludir la autenticaci贸n de Active Directory al inyectar una contrase帽a maestra en el controlador de dominio. Esto permite al atacante autenticarse como cualquier usuario sin su contrase帽a, otorg谩ndoles efectivamente acceso sin restricciones al dominio.
Se puede realizar utilizando Mimikatz. Para llevar a cabo este ataque, se requieren derechos de Administrador de Dominio, y el atacante debe dirigirse a cada controlador de dominio para asegurar una violaci贸n completa. Sin embargo, el efecto del ataque es temporal, ya que reiniciar el controlador de dominio erradica el malware, lo que requiere una reimplementaci贸n para un acceso sostenido.
Ejecutar el ataque requiere un solo comando: misc::skeleton.
Mitigaciones
Las estrategias de mitigaci贸n contra tales ataques incluyen la monitorizaci贸n de IDs de eventos espec铆ficos que indican la instalaci贸n de servicios o el uso de privilegios sensibles. Espec铆ficamente, buscar el ID de Evento del Sistema 7045 o el ID de Evento de Seguridad 4673 puede revelar actividades sospechosas. Adem谩s, ejecutar lsass.exe como un proceso protegido puede dificultar significativamente los esfuerzos de los atacantes, ya que esto requiere que empleen un controlador en modo kernel, aumentando la complejidad del ataque.
Aqu铆 est谩n los comandos de PowerShell para mejorar las medidas de seguridad:
-
Para detectar la instalaci贸n de servicios sospechosos, use:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"} -
Espec铆ficamente, para detectar el controlador de Mimikatz, se puede utilizar el siguiente comando:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"} -
Para fortalecer
lsass.exe, se recomienda habilitarlo como un proceso protegido:New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose
La verificaci贸n despu茅s de un reinicio del sistema es crucial para asegurar que las medidas de protecci贸n se hayan aplicado con 茅xito. Esto se puede lograr a trav茅s de: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*
Referencias
tip
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.