Scroll Top

Skeleton Key Angriff

Skeleton Key Angriff
Allgemein IQ Story 11. Juli 2024

Was ist ein Skeleton Key Angriff?

Ein Skeleton Key Angriff ist eine besonders gefährliche Methode, die von Angreifern genutzt wird, um sich dauerhaften und unauffälligen Zugang zu einem Active Directory (AD) Netzwerk zu verschaffen. Der Angriff setzt voraus, dass der Angreifer bereits administrative Kontrolle über einen Domain Controller (DC) hat. Durch das Einfügen eines speziellen Patches in den LSASS-Prozess (Local Security Authority Subsystem Service) auf dem Domain Controller wird ein universelles Passwort eingerichtet, das auf alle Konten im AD anwendbar ist. Dieser universelle Schlüssel ermöglicht dem Angreifer, sich bei jedem Benutzerkonto anzumelden, ohne das tatsächliche Passwort des Kontos zu kennen.

Wie unterscheidet sich ein Skeleton Key Angriff von Silver Ticket und Golden Ticket Angriffen?

  • Golden Ticket Angriff: Bei einem Golden Ticket Angriff kompromittiert der Angreifer das KRBTGT-Konto, welches für die Ausstellung von Kerberos Ticket Granting Tickets (TGTs) zuständig ist. Dadurch kann der Angreifer gefälschte TGTs erstellen, die für jede Ressource in der Domain gültig sind. Dies ermöglicht nahezu unbegrenzten Zugriff auf alle Dienste und Systeme innerhalb des Netzwerks. Mehr zu Golden Ticket Angriffen.
  • Silver Ticket Angriff: Ein Silver Ticket Angriff zielt auf die Passwörter von Service Accounts ab. Der Angreifer erstellt gefälschte Ticket Granting Service Tickets, die spezifisch für einen bestimmten Dienst sind. Diese Methode ist zielgerichteter und ermöglicht dem Angreifer, sich als spezifischer Dienst auszugeben. Mehr zu Silver Ticket Angriffen.
  • Skeleton Key Angriff: Im Gegensatz zu den beiden oben genannten Angriffen erfordert ein Skeleton Key Angriff die direkte Manipulation eines Domain Controllers. Der Angreifer fügt einen Patch in den LSASS-Prozess ein, der ein universelles Passwort hinzufügt. Dies ermöglicht es, sich bei jedem Benutzerkonto mit dem universellen Passwort anzumelden, ohne das eigentliche Passwort des Kontos zu benötigen. Diese Methode ist besonders gefährlich, da sie schwer zu erkennen ist und dauerhaften Zugriff ermöglicht.

Weiteres zum Thema finden Sie hier: Pass-the-Ticket Angriffe

Wie wird ein Skeleton Key Angriff durchgeführt?

Die Durchführung eines Skeleton Key Angriffs setzt administrative Rechte auf einem Domain Controller voraus. Hier ist eine detaillierte Beschreibung des Angriffsprozesses:

1. Zugriff auf den Domain Controller: Der Angreifer muss sich zunächst administrative Rechte auf einem Domain Controller verschaffen. Dies kann durch verschiedene Methoden erfolgen, wie beispielsweise durch das Ausnutzen von Schwachstellen oder das Erlangen von Domain-Admin-Anmeldeinformationen. 

Mehr dazu: Pass-the-Hash Angriffe

2. Einfügen des Skeleton Keys: Nachdem der Angreifer Zugriff auf den Domain Controller hat, wird der LSASS-Prozess gepatcht, um das universelle Passwort hinzuzufügen. Hierfür wird oft das Tool Mimikatz verwendet. Der folgende Befehl zeigt, wie der Skeleton Key mit Mimikatz eingefügt wird:

 

mimikatz # privilege::debug

mimikatz # misc::skeleton

 

Dieser Befehl fügt den Skeleton Key hinzu und setzt das universelle Passwort auf mimikatz. Der Angreifer kann sich nun bei jedem Konto im AD mit dem Passwort mimikatz anmelden.

3. Verwendung des Skeleton Keys: Mit dem hinzugefügten Skeleton Key kann sich der Angreifer bei jedem Benutzerkonto anmelden, indem er das universelle Passwort verwendet. Dies ermöglicht es, auf alle Ressourcen und Dienste im Netzwerk zuzugreifen, die der Benutzer zur Verfügung hat.

Wie erkennt man einen Skeleton Key Angriff?

Die Erkennung eines Skeleton Key Angriffs kann schwierig sein, da der Angriff darauf ausgelegt ist, unauffällig zu bleiben. Es gibt jedoch einige Indikatoren und Methoden, die helfen können, einen solchen Angriff zu identifizieren:

1. Überwachung von LSASS-Prozessen: Regelmäßige Überwachung und Analyse der LSASS-Prozesse auf Domain Controllern kann ungewöhnliche Aktivitäten aufdecken. Tools wie Sysinternals Process Monitor können verwendet werden, um Änderungen am LSASS-Prozess zu erkennen.

2. Überprüfung der Anmeldeprotokolle: Anmeldeversuche mit unerwarteten oder ungültigen Anmeldeinformationen können ein Hinweis auf einen Skeleton Key Angriff sein. Überwachen Sie die Anmeldeprotokolle auf ungewöhnliche Muster, wie z.B. erfolgreiche Anmeldungen mit verdächtigen Passwörtern.

3. Einsatz von Endpoint Detection and Response (EDR) Tools: EDR-Tools können helfen, Änderungen am System und verdächtige Aktivitäten zu erkennen. Diese Tools bieten Echtzeitüberwachung und können Anomalien im Verhalten des LSASS-Prozesses oder bei Anmeldeversuchen identifizieren.

4. Honeypots: Das Einrichten von Honeypots kann dabei helfen, Angreiferaktivitäten zu erkennen. Ein Honeypot kann als Köder dienen und bei einem Angriff Alarm schlagen, wenn versucht wird, sich mit dem universellen Passwort anzumelden.

Wie kann man sich gegen einen Skeleton Key Angriff schützen?

Die Prävention von Skeleton Key Angriffen erfordert eine Kombination aus Sicherheitsmaßnahmen und bewährten Praktiken:

  1. Einschränkung administrativer Rechte: Minimieren Sie die Anzahl der Benutzer mit administrativen Rechten auf Domain Controllern. Implementieren Sie das Prinzip der geringsten Privilegien, um den Zugang zu kritischen Systemen zu beschränken.
  2. Regelmäßige Überprüfung und Patch-Management: Halten Sie Ihre Systeme durch regelmäßige Überprüfungen und Updates auf dem neuesten Stand. Installieren Sie Sicherheitsupdates und Patches zeitnah, um bekannte Schwachstellen zu schließen.
  3. Netzwerksegmentierung und -isolierung: Segmentieren und isolieren Sie kritische Systeme und Domain Controller. Beschränken Sie den Netzwerkzugriff auf diese Systeme und verwenden Sie Firewalls und Netzwerkzugriffskontrollen, um unautorisierten Zugriff zu verhindern.
  4. Mehrfaktor-Authentifizierung (MFA): Implementieren Sie MFA für administrative Zugänge und privilegierte Konten. MFA fügt eine zusätzliche Sicherheitsebene hinzu und erschwert es Angreifern, Zugang zu erlangen, selbst wenn sie Anmeldeinformationen kompromittiert haben.
  5. Überwachung und Protokollierung: Implementieren Sie umfassende Überwachungs- und Protokollierungslösungen, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren. Überwachen Sie insbesondere Änderungen an kritischen Prozessen wie LSASS und achten Sie auf ungewöhnliche Anmeldeversuche.
  6. Sicherheitsbewusstsein und Schulung: Schulen Sie Ihre IT- und Sicherheitsteams regelmäßig zu neuen Bedrohungen und Angriffstechniken. Ein gut geschultes Team kann schneller auf Anomalien reagieren und potenzielle Angriffe frühzeitig erkennen.

Einsatz von Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS): IDS und IPS können dabei helfen, verdächtige Aktivitäten im Netzwerk zu erkennen und zu blockieren. Diese Systeme überwachen den Netzwerkverkehr und erkennen Muster, die auf einen Angriff hinweisen.

Weitere AD Schwachstellen und wie Sie sich dagegen absichern können erfahren Sie hier: Active Directory Schwachstellen, die Ihr Active Directory verwundbarer machen

Fazit

Ein Skeleton Key Angriff stellt eine erhebliche Bedrohung für AD-Umgebungen dar, da er Angreifern universellen Zugang zu allen Benutzerkonten ermöglicht, ohne die tatsächlichen Passwörter zu kennen. Durch gezielte Maßnahmen wie die Einschränkung administrativer Rechte, regelmäßige Überprüfung und Patch-Management, Netzwerksegmentierung, Mehrfaktor-Authentifizierung, umfassende Überwachung und Protokollierung sowie Sicherheitsbewusstsein und Schulung können Organisationen das Risiko eines Skeleton Key Angriffs signifikant reduzieren und ihre AD-Umgebung besser schützen. Indem sie diese Best Practices implementieren, können AD-Administratoren die Sicherheitslage ihres Netzwerks stärken und Angriffe frühzeitig erkennen und abwehren.

Wie IQunit Sie unterstützen kann

Als langjährige IT-Experten bieten wir IT-Schulungen für Professionals. Im Rahmen unserer 5 tägigen Essential Active Directory 2025 Schulung lernen Sie die Bereinigung, Optimierung und Transition  eines Active Directory auf Domain Controller mit dem Betriebssystem Windows Server 2025. 

Mehr zu unserem Workshop erfahren Sie hier: Essential Active Directory 2025 Schulung

Related Posts

Silver Ticket Angriff
PowerShell
Spaß mit Kerberos V5 (mal wieder)
0
22 Aug. 2023
10 Schwachstellen, die Ihr Active Directory verwundbar machen
24 Apr. 2024
DCShadow-Angriffe erkennen und sich dagegen verteidigen
03 Sep. 2024
Active Directory Security Best Practices
0
24 Apr. 2024
Golden Ticket Angriff
11 Juli 2024
Kerberoasting
Kerberoasting
0
13 Okt. 2023
Pass-the-Ticket Angriffe
12 Juni 2024
Pass-the-Hash Angriffe