域内权限维持：Skeleton Key（万能密码）

 01、简介

Skeleton Key（万能密码），是一种可以对域内权限进行持久化的操作，通过将Skeleton Key注入到lsass进程，无需重启域控即可生效，而且能够在不影响当前域用户正常登录的情况下，让所有域用户使用同一个万能密码进行登录，它只存在于内存中，如果域控制器重启，注入的 Skeleton Key 将会失效。

02、利用过程

（1）尝试以当前用户身份，查看当前网络资源的连接为空，列出域控C盘共享目录中的文件显示拒绝访问，表示当前用户无权限。

（2）在域控制器以管理员权限打开mimikatz，使用 mimikatz 完成注入 Skeleon Key 的操作，将 skeleton key 注入域控制器的 lsass.exe 进程。如下图：显示已注入成功，此时会在域内所有帐户添加一个skeleton key，默认密码为“mimikatz”。

//提升权限
mimikatz # privilege::debug
//注入 skeleton key
mimikatz # misc::skeleton

 （3）使用域内管理员帐户和skeleton key尝试与域控制器成功建立连接，可列出域控制器C盘共享目录中的文件。

net use \\win-dc01\c$ /user:"evil\administrator" "mimikatz"

（4）绕过LSA 保护

微软在2014年3月12日添加了LSA保护策略，用来防止对进程lsass.exe的代码注入，这样一来就无法使用mimikatz对lsass.exe进行注入。启用 LSA 保护，只需要在注册表中添加一个值，重启服务器即可。

（5）在win2012上，mimikatz通过导入驱动文件mimidrv.sys后，可绕过LSA 保护。

 

 03、检测方法

（1）检测注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa  ，是否开启PPL保护。

（2）当攻击者尝试加载mimidrv.sys驱动时，将会生成4697事件，这个行为可作为安全日志中最为明显的特征进行识别检测。