Skeleton Key Attack
Skeleton Key атака — это сложный метод, который позволяет злоумышленникам обойти аутентификацию Active Directory путем внедрения мастер-пароля в контроллер домена. Это позволяет злоумышленнику аутентифицироваться от имени любого пользователя без пароля, фактически предоставляя ему неограниченный доступ к домену. Его можно выполнить с помощью инструмента Mimikatz. Это вредоносное ПО внедряется в LSASS и создает мастер-пароль, который будет работать для любой учетной записи Active Directory в домене. Поскольку текущие пароли пользователей также продолжают работать, атака Skeleton Key не нарушит процесс аутентификации, поэтому атаки трудно обнаружить, если вы не знаете, что искать.
Для проведения этой атаки необходимы права администратора домена, и злоумышленник должен нацелиться на каждый контроллер домена, чтобы обеспечить всеобъемлющее закрепление. Тем не менее, эффект атаки является временным, так как перезапуск контроллера домена исправит последствия этой атаки.
Для выполнения атаки требуется одна команда:
misc::skeleton
После этого вы можете авторизоваться как любой пользователь, указав пароль по умолчанию — «mimikatz». Если аутентификация выполняется для члена группы администраторов домена, вы получите административный доступ к контроллеру домена.
Вы можете получить сообщение: «Произошла системная ошибка 86. Указанный пароль сети неверен». В этом случае попробуйте указать имя пользователя в формате domainaccount.
Стратегии защиты от таких атак включают мониторинг определенных идентификаторов событий, указывающих на установку служб или использование конфиденциальных привилегий. В частности, поиск системного события с идентификатором 7045 или кодом безопасности 4673 может выявить подозрительные действия. Кроме того, запуск lsass.exe в качестве защищенного процесса может значительно усложнить злоумышленников, поскольку это требует использования драйвера режима ядра, что увеличивает сложность атаки.
Ниже приведены команды PowerShell для усиления мер безопасности.
Чтобы обнаружить установку подозрительных служб, используйте:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}В частности, для обнаружения драйвера Mimikatz может быть использована следующая команда:
Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}Чтобы укрепить lsass.exe, рекомендуется включить его в качестве защищенного процесса:
New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose