7.7 טכניקת Skeleton Key Attack הרצאה

טכניקת Skeleton Key Attack – הזרקת סיסמה אוניברסלית לכל המשתמשים בדומיין¶

טכניקת Skeleton Key Attack היא טכניקת התקפה מתקדמת במתקפות Privilege Escalation במערכות Active Directory (AD), שמאפשרת לתוקף להזריק סיסמה אוניברסלית לכל משתמשי הדומיין. התקפה זו מבוססת על מנגנוני האימות של NTLM ו-Kerberos ומאפשרת לתוקף לגשת לכל המערכות והמשאבים בדומיין מבלי הצורך לדעת את הסיסמאות של המשתמשים או לשנות את הסיסמאות עצמם. סיסמת ה-"Skeleton Key" שנוצרת במתקפה זו פועלת כנגד כל חשבון משתמש, ומאפשרת לתוקף לבצע authentication כאילו היה משתמש לגיטימי.

כיצד פועלת טכניקת Skeleton Key?¶

ההתקפה מתבצעת על ידי הזרקת סיסמה אוניברסלית (הנקראת "Skeleton Key") לכל משתמשי הדומיין, דרך Domain Controller. התוקף משתמש בהתקפה זו כדי להטמיע סיסמה חדשה שתעבוד עבור כל המשתמשים, מבלי לשנות את הסיסמאות המקוריות או להיתפס בפעולה. הסיסמה החדשה שומרת על ההתנהגות התקינה של משתמשי הדומיין, אך התוקף מקבל גישה בלתי מוגבלת אל כל המשאבים.

איך מתבצע ההתקפה?¶

גישה ל-Domain Controller: התוקף חייב להשיג גישה לשרת ה-Domain Controller (DC), שהוא המחשב שמנהל את כל האימותים וההרשאות בדומיין. זהו הצעד הקריטי בהתקפה, משום שכאן התוקף יוכל להשפיע על כל המידע הקריטי של המשתמשים.
הזרקת סיסמת ה-Skeleton Key: לאחר שהתוקף משיג גישה ל-DC, הוא עושה שימוש בכלי כמו Mimikatz כדי להזריק סיסמה אוניברסלית לכל החשבונות במערכת. הסיסמה שומרת על תפקוד רגיל של המערכת, כך שאין שינוי מהותי בחוויית המשתמש, אך הסיסמה מאפשרת לתוקף גישה לכל המשתמשים.
גישה בלתי מוגבלת: לאחר שהסיסמה הוזרקה, התוקף יכול להשתמש בהכנסת סיסמה זו כדי לבצע authentication לכל משאב או שירות בדומיין, כאילו היה כל משתמש אחר. כך, כל משתמש שנכנס למערכת עלול להיתקל בהתקפות לא מורשות.

מימוש התקפת Skeleton Key עם Mimikatz¶

Mimikatz הוא כלי תקיפה נפוץ המיועד לניצול חולשות במנגנוני האימות של Windows, כולל ניצול פרוטוקולי NTLM ו-Kerberos. ב-Skeleton Key Attack, Mimikatz מאפשר לתוקף להזריק את הסיסמה האוניברסלית לכל חשבונות המשתמשים במערכת.

פקודות Mimikatz לביצוע Skeleton Key Attack¶

התחברות ל-Domain Controller: תחילה, על התוקף להתחבר למערכת ה-DC. התוקף חייב להיות מחובר כמשתמש עם הרשאות גבוהות או כמנהל מערכת (Administrator).
הפעלת Mimikatz: כדי להפעיל את Mimikatz, התוקף מתחיל בהרשאות גבוהות.
```
mimikatz.exe "privilege::debug" "token::elevate"
```
הזרקת הסיסמה האוניברסלית (Skeleton Key): עכשיו, התוקף יכול להזריק את הסיסמה האוניברסלית לכל המשתמשים ב-Active Directory. פעולה זו תאפשר לו להיכנס לכל מערכת ללא שינוי הסיסמאות המקוריות של המשתמשים.
```
mimikatz.exe "lsadump::sam /inject:skeletonkey"
```
גישה למערכות ולמשאבים: לאחר הזרקת הסיסמה, התוקף יכול להתחבר עם הסיסמה האוניברסלית לכל אחד מהחשבונות בדומיין. הוא יכול להשתמש ב-Mimikatz או בכלים נוספים כמו RDP (Remote Desktop Protocol) או WinRM כדי לגשת למחשבים מרוחקים.
```
mstsc /v:<IP_of_Target> /u:<username> /p:<Skeleton_Password>
```

השלכות התקפת Skeleton Key¶

ההתקפה עלולה להוביל להשלכות חמורות, כולל:

גישה מלאה למערכת: התוקף מקבל גישה לא מחולקת לכל המערכות והמשאבים ברשת. הוא יכול להתחבר לכל שירות, לעיין בקבצים, או לבצע פעולות זדוניות.
התפשטות רוחבית (Lateral Movement): לאחר שמוקם ה-Skeleton Key, התוקף יכול לעבור בין המערכות השונות, להשיג מידע נוסף, ולבצע פעולות נוספות כמו שינוי הרשאות או גניבת מידע רגיש.
הסתרה של פעולות התוקף: כיוון שהסיסמה האוניברסלית לא משנה את סיסמת המשתמשים הרגילים, קשה מאוד לזהות את התקיפה. כל עוד התוקף לא מבצע פעולות חודרניות מדי, פעולתו עשויה להסתיר את עצמה.
אי זיהוי של התוקף: ה-Skeleton Key מאפשר לתוקף להישאר בעילום שם לחלוטין. מערכת ניהול המידע לא תוכל להבדיל בין התחברות רגילה של משתמש לבין התחברות של התוקף.

הגנה מפני התקפת Skeleton Key¶

הגנה על מערכות Active Directory מפני התקפה כזו דורשת מספר אמצעי מנע וצעדים טכניים:

הקשחת שרתי DC: יש להקשות את גישת המנהלים ל-Domain Controllers ולמנוע גישה בלתי מורשית. זה כולל שימוש בהגדרות כמו Local Security Policies המגבילות את פעולתו של Mimikatz.
הפעלת Multi-Factor Authentication (MFA)**: דרישה למערכת אימות כפול יכולה להפוך את ההתקפות ליותר מסובכות ולמנוע גישה באמצעות סיסמה בלבד.
מניעת גישה ישירה ל-DC: יש להימנע מלספק גישה ישירה ל-DC ממחשבים לא מנוהלים. על כל התקני הלקוח והשרתים להיות תחת פיקוח צמוד.
ניהול תקני אבטחה מתקדמים: יש להשתמש בפתרונות אבטחה מתקדמים כמו EDR (Endpoint Detection and Response) וביצוע תהליכים של log monitoring כדי לזהות פעילות חריגה ברשת.
עדכון שוטף של מערכות והגדרות אבטחה: על מנת להימנע מניצול כלים כמו Mimikatz, יש לוודא שמערכות הקבצים וההגדרות מעודכנות באופן שוטף. יש לעקוב אחרי patch management וליישם עדכונים קריטיים.