hacktricks/windows-hardening/active-directory-methodology/skeleton-key.md

3.6 KiB

Ataque Skeleton Key

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Red Team de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

El ataque Skeleton Key es una técnica sofisticada que permite a los atacantes burlar la autenticación de Active Directory al inyectar una contraseña maestra en el controlador de dominio. Esto permite al atacante autenticarse como cualquier usuario sin necesidad de su contraseña, otorgándoles efectivamente acceso ilimitado al dominio.

Puede llevarse a cabo utilizando Mimikatz. Para realizar este ataque, se requieren privilegios de Administrador de Dominio, y el atacante debe apuntar a cada controlador de dominio para asegurar una brecha completa. Sin embargo, el efecto del ataque es temporal, ya que reiniciar el controlador de dominio erradica el malware, lo que requiere una reimplantación para un acceso sostenido.

Ejecutar el ataque requiere un solo comando: misc::skeleton.

Mitigaciones

Las estrategias de mitigación contra tales ataques incluyen monitorear eventos específicos que indican la instalación de servicios o el uso de privilegios sensibles. Específicamente, buscar el Evento de Sistema ID 7045 o el Evento de Seguridad ID 4673 puede revelar actividades sospechosas. Además, ejecutar lsass.exe como un proceso protegido puede obstaculizar significativamente los esfuerzos de los atacantes, ya que esto requiere que utilicen un controlador de modo kernel, aumentando la complejidad del ataque.

Aquí están los comandos de PowerShell para mejorar las medidas de seguridad:

  • Para detectar la instalación de servicios sospechosos, usa: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}

  • Específicamente, para detectar el controlador de Mimikatz, se puede utilizar el siguiente comando: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}

  • Para fortalecer lsass.exe, se recomienda habilitarlo como un proceso protegido: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

Es crucial verificar después de reiniciar el sistema que las medidas de protección se hayan aplicado con éxito. Esto se puede lograr mediante: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

Referencias