原文地址:
[url]http://adsecurity.org/?p=1255[/url]
[url]http://adsecurity.org/?p=1275[/url]
Skeleton Key Malware安装在一个/多个64位DC上。该软件“patch”系统来启动一个主密码来接受任何域user,包括admins。
这样就允许attacker使用他们想用的任何username和恶意软件中配置的主密码(skeleton key)来登陆。“Joe”用户可以继续使用他的密码来登陆,而attacker可以使用skeleton key来登陆Joe的账户。
关键点:
1. 需要域管理员级别权限来“patch” LSASS
2. 已经存在的账户继续正常工作
3. 添加一个新的密码允许攻击者可以以任何账户登录--这就是skeleton key
4. 域控制器也许会经历复制问题
5. 当前的Skeleton key在重启后会失效-重启DC会删除内存中“patch”。主意DC通常一个月只会重启一次
6. skeleton key只运行在64位系统中
7. mimikatz支持skeleton key功能
[img]http://dl2.iteye.com/upload/attachment/0105/6450/ebd985a6-111e-3043-abde-f16386d4853e.png[/img]
在DC中使用Mimikatz来注入skeleton key
[img]http://dl2.iteye.com/upload/attachment/0105/6452/0ce9f506-d357-3971-8f5a-550dc02dcce0.png[/img]
[color=blue][b]场景:[/b][/color]
attacker利用MS14-068(http://adsecurity.org/?p=763)或KRBTGT NTLM password hash(http://adsecurity.org/?p=483)来生成Kerberos Golden Ticket来伪装成一个合法的域管理员账户。attacker利用伪造的Kerberos TGT ticket通过PowerShell remoting来访问DC。 PowerShell remoting运行在WinRM上,并且提供一个运行在远端主机上的shell(类似ssh)。这时,attacker在DC上运行一个使用"invoke-command"来运行mimikatz命令的脚本
[img]http://dl2.iteye.com/upload/attachment/0105/6457/d9234bc4-e874-339d-92b3-d5071d7fd24f.png[/img]
验证Mimikatz Skeleton Key
1. 测试普通user
[img]http://dl2.iteye.com/upload/attachment/0105/6460/d73e073e-24e4-3eb5-bbd4-d417db8898e4.png[/img]
2. 测试域管理员
[img]http://dl2.iteye.com/upload/attachment/0105/6464/1aee53cf-443d-3e43-b261-d537701ede27.png[/img]
[url]http://adsecurity.org/?p=1255[/url]
[url]http://adsecurity.org/?p=1275[/url]
Skeleton Key Malware安装在一个/多个64位DC上。该软件“patch”系统来启动一个主密码来接受任何域user,包括admins。
这样就允许attacker使用他们想用的任何username和恶意软件中配置的主密码(skeleton key)来登陆。“Joe”用户可以继续使用他的密码来登陆,而attacker可以使用skeleton key来登陆Joe的账户。
关键点:
1. 需要域管理员级别权限来“patch” LSASS
2. 已经存在的账户继续正常工作
3. 添加一个新的密码允许攻击者可以以任何账户登录--这就是skeleton key
4. 域控制器也许会经历复制问题
5. 当前的Skeleton key在重启后会失效-重启DC会删除内存中“patch”。主意DC通常一个月只会重启一次
6. skeleton key只运行在64位系统中
7. mimikatz支持skeleton key功能
[img]http://dl2.iteye.com/upload/attachment/0105/6450/ebd985a6-111e-3043-abde-f16386d4853e.png[/img]
在DC中使用Mimikatz来注入skeleton key
[img]http://dl2.iteye.com/upload/attachment/0105/6452/0ce9f506-d357-3971-8f5a-550dc02dcce0.png[/img]
[color=blue][b]场景:[/b][/color]
attacker利用MS14-068(http://adsecurity.org/?p=763)或KRBTGT NTLM password hash(http://adsecurity.org/?p=483)来生成Kerberos Golden Ticket来伪装成一个合法的域管理员账户。attacker利用伪造的Kerberos TGT ticket通过PowerShell remoting来访问DC。 PowerShell remoting运行在WinRM上,并且提供一个运行在远端主机上的shell(类似ssh)。这时,attacker在DC上运行一个使用"invoke-command"来运行mimikatz命令的脚本
[img]http://dl2.iteye.com/upload/attachment/0105/6457/d9234bc4-e874-339d-92b3-d5071d7fd24f.png[/img]
验证Mimikatz Skeleton Key
1. 测试普通user
[img]http://dl2.iteye.com/upload/attachment/0105/6460/d73e073e-24e4-3eb5-bbd4-d417db8898e4.png[/img]
2. 测试域管理员
[img]http://dl2.iteye.com/upload/attachment/0105/6464/1aee53cf-443d-3e43-b261-d537701ede27.png[/img]