מה זה Skeleton Key Attack¶
יש התקפות על Active Directory שגונבות מידע, ויש כאלה שמשנות את חוקי המשחק עצמם. Skeleton Key שייכת לקטגוריה השנייה - היא לא גונבת סיסמה של אף אחד, אלא משתילה סיסמת מאסטר שעובדת לכל משתמש בדומיין, בלי לשנות אפילו סיסמה אחת אמיתית. זו התקפה שמדגימה עד כמה עמוק אפשר להגיע כשתוקף כבר משיג שליטה מלאה על בקר דומיין.
מה זה בעצם Skeleton Key¶
Skeleton Key היא טכניקה שמטמיעה תיקון זמני בזיכרון של תהליך האימות בבקר הדומיין (lsass.exe), כך שממש כמו מפתח אשכול שפותח כל דלת בבניין, סיסמה מסוימת שהתוקף בחר תעבוד עבור כל משתמש בדומיין - בנוסף לסיסמה האמיתית שלו, לא במקומה. המשתמש האמיתי ממשיך להתחבר עם הסיסמה שלו כרגיל, בלי לשים לב לשום דבר חריג, בעוד שהתוקף יכול להתחבר לאותו חשבון בדיוק עם הסיסמה שהוא הטמיע, בכל רגע שהוא רוצה.
למה זה כל כך שונה מגניבת hash רגילה¶
בגניבת hash קלאסית, התוקף לוקח משהו שכבר קיים - סיסמה מוצפנת - ומשתמש בו. ב-Skeleton Key, התוקף לא גונב שום דבר קיים, אלא משנה את ההתנהגות של תהליך האימות עצמו כך שהוא מקבל קלט נוסף שלא היה קיים במקור. זה דורש רמת שליטה גבוהה מאוד על בקר הדומיין - בפועל, הרשאות מנהל דומיין מלאות - כי מדובר בשינוי ישיר של זיכרון תהליך קריטי במערכת ההפעלה.
למה תוקפים משתמשים בזה בכל זאת¶
אם ממילא צריך הרשאות מנהל דומיין מלאות כדי לבצע את זה, למה לא פשוט להשתמש בהרשאות האלה ישירות? התשובה היא ערך ההישרדות וההסתרה. Skeleton Key נותנת לתוקף דרך כניסה נוחה וגמישה לכל חשבון בדומיין, כולל חשבונות שאולי לא היו נגישים לו בדרך אחרת, בלי לגעת בסיסמה של אף אחד ובלי לשנות שום דבר שמישהו יבחין בו. זה שימושי במיוחד כדרך "לחזור" לדומיין מאוחר יותר, גם דרך חשבונות שנראים תמימים ולא רגישים במיוחד, בלי להשתמש שוב בהרשאות הגבוהות המקוריות שאולי כבר זוהו וטופלו.
המגבלה המרכזית של ההתקפה¶
יש לה חיסרון משמעותי אחד: היא לא שורדת אתחול. מכיוון שהשינוי מתבצע ישירות בזיכרון של התהליך, ברגע שבקר הדומיין מופעל מחדש, ה-Skeleton Key נעלם לחלוטין וצריך להטמיע אותו מחדש. זו הסיבה שההתקפה הזו נחשבת בעיקר לכלי לטווח קצר-בינוני, ולא כמנגנון הישרדות ארוך טווח כמו Golden Ticket.
איך מזהים ומתגוננים¶
- ניטור שינויים בזיכרון של תהליך lsass.exe, ושימוש בפתרונות הגנת נקודות קצה שמזהים ניסיונות תיקון (patch) של תהליכים קריטיים.
- אכיפת אימות רב-גורמי (MFA) עבור חשבונות רגישים - Skeleton Key משפיעה רק על שכבת הסיסמה, ולא עוקפת גורם אימות נוסף.
- הפעלת Credential Guard ומנגנוני הגנה דומים שמקשים על גישה ושינוי של תהליכי אימות ליבה.
- ניטור התחברויות עם דפוסים חריגים - למשל אותו חשבון שמתחבר מכתובות או במועדים לא סבירים.
איך לומדים את זה נכון¶
Skeleton Key היא דוגמה לתקיפה שדורשת כבר שליטה גבוהה בדומיין, ולכן הבנה שלה חשובה בעיקר בהקשר של שלבי הישרדות והסתרה בתקיפה מתקדמת. מי שרוצה לבנות את הבסיס המלא, מהשלבים הראשונים ועד לרמות המתקדמות האלה, יכול להתחיל מקורס בדיקות החדירות שלנו.
לסיכום¶
Skeleton Key מזכירה שברגע שתוקף מגיע לשליטה מלאה על בקר דומיין, גבולות ההתקפה מתרחבים הרבה מעבר לגניבת מידע קיים - הם כוללים שינוי ישיר של איך המערכת עצמה מתנהגת. זו בדיוק הסיבה שהגנה על בקרי הדומיין היא סדר עדיפות עליון בכל ארגון.
יש לכם שאלות על טכניקות הישרדות מתקדמות נוספות? בואו לקהילה שלנו.