hacktricks/windows-hardening/active-directory-methodology/skeleton-key.md

Ataque Skeleton Key

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

• Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
• Adquira o swag oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção exclusiva de NFTs
• Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
• Compartilhe seus truques de hacking enviando PRs para os repositórios HackTricks e HackTricks Cloud.

Ataque Skeleton Key

O ataque Skeleton Key é uma técnica sofisticada que permite aos atacantes burlar a autenticação do Active Directory ao injetar uma senha mestra no controlador de domínio. Isso permite ao atacante autenticar-se como qualquer usuário sem sua senha, concedendo-lhes acesso irrestrito ao domínio.

Pode ser realizado usando Mimikatz. Para executar esse ataque, são necessários direitos de Administrador de Domínio, e o atacante deve visar cada controlador de domínio para garantir uma violação abrangente. No entanto, o efeito do ataque é temporário, pois reiniciar o controlador de domínio erradica o malware, exigindo uma reimplantação para acesso sustentado.

Executar o ataque requer um único comando: misc::skeleton.

Mitigações

Estratégias de mitigação contra tais ataques incluem monitorar IDs de eventos específicos que indicam a instalação de serviços ou o uso de privilégios sensíveis. Especificamente, procurar pelo ID de Evento do Sistema 7045 ou ID de Evento de Segurança 4673 pode revelar atividades suspeitas. Além disso, executar lsass.exe como um processo protegido pode dificultar significativamente os esforços dos atacantes, pois isso os obriga a empregar um driver de modo kernel, aumentando a complexidade do ataque.

Aqui estão os comandos do PowerShell para aprimorar as medidas de segurança:

• Para detectar a instalação de serviços suspeitos, use: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Driver de Modo Kernel*"}

• Especificamente, para detectar o driver do Mimikatz, o seguinte comando pode ser utilizado: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Driver de Modo Kernel*" -and $_.message -like "*mimidrv*"}

• Para fortalecer o lsass.exe, é recomendável habilitá-lo como um processo protegido: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

A verificação após a reinicialização do sistema é crucial para garantir que as medidas de proteção tenham sido aplicadas com sucesso. Isso é alcançável através de: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*processo protegido*

Referências

• https://blog.netwrix.com/2022/11/29/skeleton-key-attack-active-directory/