hacktricks/windows-hardening/active-directory-methodology/skeleton-key.md

Skeleton Key

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

• Ako želite da vidite vašu kompaniju reklamiranu u HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
• Nabavite zvanični PEASS & HackTricks swag
• Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
• Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Napad Skeleton Key

Napad Skeleton Key je sofisticirana tehnika koja omogućava napadačima da zaobiđu autentifikaciju Active Directory-ja ubacivanjem glavne lozinke u kontroler domena. Ovo omogućava napadaču da se autentifikuje kao bilo koji korisnik bez njihove lozinke, efektivno im dajući neograničen pristup domenu.

Može se izvesti pomoću alata Mimikatz. Da bi se izveo ovaj napad, neophodna su administratorska prava domena, a napadač mora ciljati svaki kontroler domena kako bi osigurao sveobuhvatno probijanje. Međutim, efekat napada je privremen, jer ponovno pokretanje kontrolera domena uklanja malver, što zahteva ponovnu implementaciju za trajni pristup.

Izvršavanje napada zahteva jednu komandu: misc::skeleton.

Mere zaštite

Strategije zaštite od ovakvih napada uključuju praćenje određenih ID-ova događaja koji ukazuju na instalaciju servisa ili korišćenje osetljivih privilegija. Konkretno, traženje ID-a događaja sistema 7045 ili ID-a događaja bezbednosti 4673 može otkriti sumnjive aktivnosti. Dodatno, pokretanje lsass.exe kao zaštićenog procesa može značajno ometati napore napadača, jer zahteva korišćenje drajvera u režimu jezgra, što povećava složenost napada.

Evo PowerShell komandi za poboljšanje sigurnosnih mera:

• Za otkrivanje instalacije sumnjivih servisa koristite: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}

• Konkretno, za otkrivanje Mimikatz-ovog drajvera, može se koristiti sledeća komanda: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}

• Za ojačavanje lsass.exe, preporučuje se omogućavanje kao zaštićenog procesa: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

Provera nakon ponovnog pokretanja sistema je ključna kako bi se osiguralo da su zaštitne mere uspešno primenjene. To se može postići pomoću: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

Reference

• https://blog.netwrix.com/2022/11/29/skeleton-key-attack-active-directory/

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

• Ako želite da vidite vašu kompaniju reklamiranu u HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
• Nabavite zvanični PEASS & HackTricks swag
• Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
• Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.