Skeleton Key Attack

Skeleton Key hücumu zamanı təcavüzkar domen nəzarətçisinə icazəsiz giriş əldə edir və “skelet açarı” kimi tanınan əsas parol yaradır. Bu açar təcavüzkarın həqiqi parolunu bilmədən şəbəkədəki istənilən istifadəçini təqlid etməyə imkan verir. Bu hücum, universal autentifikasiya keçidini yaratmaq üçün autentifikasiya sisteminin özünü pozmağa cəhd edir.

Aşağıdakı əmrlərdən istifadə edərək skeleton hücumu həyata keçirə bilərsiniz:

Invoke-Mimikatz -Command '"privilege::debug" "misc::skeleton"' -ComputerName <DC's FQDN>

Bu əmr, skeleton key hücumunu yerinə yetirmək üçün Mimikatzdan istifadə edir. O, ilk növbədə sazlama imtiyazlarını (imtiyaz:: debug) təmin edir və sonra misc::skeleton funksiyasını yerinə yetirir. Mimikatzdakı misc::skeleton əmri skeleton key hücumu kimi tanınır. Bu hücumda o, təcavüzkarın sistemə “skelet açarı” implantasiya etməsinə və onlara istənilən istifadəçi üçün düzgün parolu varmış kimi effektiv şəkildə giriş imkanı verir.

Invoke-Mimikatz əmrinin müvəffəqiyyətlə icrasından sonra təcavüzkar skelet açarı hücumundan istifadə edərək domen nəzarətçisinə (DC) və ya digər kritik sistemə imtiyazlı giriş əldə edə bilər:

Enter-PSSession -ComputerName <AnyMachineYouLike> -Credential <Domain>\Administrator

Təcavüzkar bu əmrdən istfadə edərək pozulmuş domen administratoru etimadnaməsini istifadə edərək başqa maşında (<AnyMachineYouLike>) uzaqdan PowerShell sessiyası (Enter-PSSession) qurmağa çalışır.