HackTricksSkeleton Key
Reading time: 2 minutes
tip
AWS Hacking'i öğrenin ve pratik yapın:
HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi takip edin Twitter'da 🐦 @hacktricks_live.
- Hacking ipuçlarını paylaşın, HackTricks ve HackTricks Cloud github reposuna PR göndererek.
Skeleton Key Attack
Skeleton Key saldırısı, saldırganların Active Directory kimlik doğrulamasını atlamasına olanak tanıyan sofistike bir tekniktir; bu, alan denetleyicisine bir ana şifre enjekte ederek gerçekleştirilir. Bu, saldırgana herhangi bir kullanıcı olarak kimlik doğrulama yapma imkanı tanır ve böylece alan üzerinde sınırsız erişim sağlar.
Bu saldırı, Mimikatz kullanılarak gerçekleştirilebilir. Bu saldırıyı gerçekleştirmek için Domain Admin hakları gereklidir ve saldırganın her alan denetleyicisini hedef alması, kapsamlı bir ihlal sağlamak için gereklidir. Ancak, saldırının etkisi geçicidir; çünkü alan denetleyicisinin yeniden başlatılması kötü amaçlı yazılımı ortadan kaldırır, bu da sürdürülebilir erişim için yeniden uygulanmasını gerektirir.
Saldırıyı gerçekleştirmek için tek bir komut gereklidir: misc::skeleton.
Mitigations
Bu tür saldırılara karşı önleme stratejileri, hizmetlerin kurulumu veya hassas ayrıcalıkların kullanımıyla ilgili belirli olay kimliklerini izlemeyi içerir. Özellikle, Sistem Olay Kimliği 7045 veya Güvenlik Olay Kimliği 4673'ü aramak, şüpheli faaliyetleri ortaya çıkarabilir. Ayrıca, lsass.exe'yi korumalı bir işlem olarak çalıştırmak, saldırganların çabalarını önemli ölçüde engelleyebilir; çünkü bu, bir çekirdek modu sürücüsü kullanmalarını gerektirir ve saldırının karmaşıklığını artırır.
Güvenlik önlemlerini artırmak için PowerShell komutları şunlardır:
-
Şüpheli hizmetlerin kurulumunu tespit etmek için:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"} -
Özellikle Mimikatz'ın sürücüsünü tespit etmek için aşağıdaki komut kullanılabilir:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"} -
lsass.exe'yi güçlendirmek için, onu korumalı bir işlem olarak etkinleştirmek önerilir:New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose
Sistem yeniden başlatıldıktan sonra doğrulama, koruyucu önlemlerin başarıyla uygulandığından emin olmak için kritik öneme sahiptir. Bu, şu şekilde gerçekleştirilebilir: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*
References
tip
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi takip edin Twitter'da 🐦 @hacktricks_live.
- Hacking ipuçlarını paylaşın, HackTricks ve HackTricks Cloud github reposuna PR göndererek.