Skeleton Key-Angriff: Wie er funktioniert und wie man ihn erkennt

Was ist Skeleton Key Malware?

Die Skeleton Key-Malware ist eine heimliche, im Arbeitsspeicher befindliche Hintertür, die den Authentifizierungsprozess von Active Directory verändert und einem Angreifer ermöglicht, sich mit einer einzigen „Master“-Anmeldeinformation (Passwort) zu authentifizieren. Sie stiehlt oder ersetzt keine Benutzerpasswörter; sie ändert die Authentifizierungslogik auf einem Domänencontroller, um die gefälschte Master-Anmeldeinformation mit jedem gültigen Benutzernamen zu akzeptieren.

Um den Authentifizierungsprozess zu verändern, injiziert Malware bösartigen Code in LSASS (Local Security Authority Subsystem Service) auf einem kompromittierten Domänencontroller, der die Authentifizierungsroutine patcht oder hookt. Sobald der Code implantiert ist, akzeptiert LSASS die Master-Anmeldeinformationen des Angreifers während der Authentifizierungsanfragen, wodurch der Angreifer sich effektiv als jeder vorhandene Benutzer anmelden kann. Da diese Überprüfung im LSASS-Speicher erfolgt, müssen die Master-Anmeldeinformationen nicht in der Active Directory-Datenbank (NTDS.dit) gespeichert werden. Active Directory bleibt unverändert und normale Anmeldeinformationen funktionieren weiterhin, was die Implantation schwer erkennbar macht.

Es gibt jedoch einen Haken. Wenn eine Active Directory-Site mehrere Domänencontroller hat, muss das Skeleton Key Implantat auf jedem DC vorhanden sein, damit das Skeleton Key-Masterpasswort als gültiges Passwort des Benutzers akzeptiert wird. Clients finden einen Domänencontroller mithilfe von DCLocator, das effektiv zufällig einen Domänencontroller auswählt. Wenn sich also ein Client bei einem Domänencontroller authentifiziert, auf dem Skeleton Key nicht installiert ist, schlägt das Masterpasswort fehl.

Der normale Authentifizierungsprozess und wie Skeleton Key ihn umgeht

Skeleton Key umgeht nicht die Überprüfung der Existenz des Kontos; es umgeht nur den Schritt der Passwortvalidierung. Wenn sich ein Benutzer anmeldet:

• Der DC prüft zunächst, ob der Benutzername im Active Directory existiert (dieser Schritt wird nicht umgangen).
• Als nächstes fordert LSASS normalerweise AD (oder das Authentifizierungspaket) auf, das eingegebene Passwort anhand gespeicherter Hashes oder Kerberos-Schlüssel zu validieren. Hier greift Skeleton Key ein. Bevor die normale Validierung erfolgt, sucht der bösartige Code nach den Master-Anmeldeinformationen des Angreifers (spezielles Passwort oder Token). Wenn diese vorgelegt werden, gibt LSASS Erfolg zurück und die Anmeldung wird fortgesetzt (auch wenn solche Anmeldeinformationen nicht in Active Directory existieren).

Kurz gesagt, ermöglicht Skeleton Key, dass das Hauptpasswort für jedes vorhandene Konto als gültig akzeptiert wird. Das Konto selbst muss ein legitimes AD-Benutzerobjekt sein.

Angriffsschwere

Das Hauptziel eines Skeleton Key-Angriffs besteht darin, einen dauerhaften, unentdeckten und nahezu vollständigen Domänenzugriff auf ein Netzwerk aufrechtzuerhalten, wobei sich der Angreifer lateral bewegt und Privilegien missbraucht, ohne Konten kompromittieren zu müssen. Da die Änderung im Speicher erfolgt, erfordert die Erkennung EDR und Speicherforensik, LSASS-Integritätsprüfungen sowie sorgfältige AD- und Verhaltensüberwachung und nicht nur Dateiscans oder Protokolle von Passwortänderungen.

Wie funktioniert die Malware Skeleton Key?

Hier ist eine Schritt-für-Schritt-Anleitung zum Lebenszyklus eines Skeleton Key-Angriffs und was jede Phase praktisch bedeutet.

Erstkompromittierung

Der Angriff beginnt, wenn ein Angreifer privilegierten Zugriff auf einen Domain-Controller oder ein Konto mit Berechtigungen zur Installation von Code auf einem Domain-Controller erhält. Häufige Vektoren für einen ersten Einbruch sind Spear-Phishing, gestohlene oder wiederverwendete Anmeldedaten, Ausnutzung einer ungepatchten Schwachstelle oder Missbrauch von Remote-Admin-Tools (RDP, VPNs, Remote-Management-Konsolen).

Malware-Bereitstellung

Nachdem der Angreifer Zugriff erlangt hat, lädt er normalerweise die Skeleton Key DLL-Datei in ein Staging-Verzeichnis auf einem Jump-Host im Netzwerk des Opfers hoch. Anschließend verwendet er privilegierte Anmeldeinformationen, wie Domain Administrator, um die Skeleton Key-Binärdatei auf den Domänencontroller zu kopieren und auszuführen, um sie in den LSASS-Prozess zu injizieren. LSASS verwaltet die Windows-Authentifizierung, sodass die Malware durch das Injizieren von Code, der die Authentifizierungsroutine im Speicher patcht oder hookt, Authentifizierungsanfragen im Speicher abfangen kann. Sie ändert keine Dateien oder Benutzer-Passworthashes in Active Directory; stattdessen ändert sie, was der Domänencontroller akzeptiert während der Authentifizierung. Dadurch meldet der Domänencontroller weiterhin normales Authentifizierungsverhalten für legitime Anmeldeinformationen, akzeptiert aber auch das Backdoor-Master-Passwort.

Sobald Skeleton Key erfolgreich bereitgestellt ist, löschen Angreifer die Skeleton Key DLL-Datei von den angegriffenen Domänencontrollern und aus dem Staging-Verzeichnis auf dem Jump-Host.

Authentifizierungsüberschreibung

Mit seinem Code, der innerhalb von LSASS ausgeführt wird, fängt die Malware Anmeldeversuche ab und implementiert eine Umgehung: Wenn ein eingegebenes Passwort mit dem geheimen „Master“-Passwort des Angreifers übereinstimmt, gibt der Domänencontroller eine erfolgreiche Authentifizierung für jeden angegebenen Benutzernamen zurück. Auf diese Weise kann sich der Angreifer als beliebiges Domänenkonto authentifizieren (einschließlich hoch privilegierter Konten). Da der Angriff die in Active Directory gespeicherten Passwort-Hashes nicht verändert, zeigen Standard-Passwortprüfungen und Verzeichnisinspektionen nichts Auffälliges, was diese Umgehung heimlich und gefährlich macht.

Seitliche Bewegung

Mit einem Master-Passwort bewaffnet kann der Angreifer jeden Benutzer imitieren und Kerberos-Tickets anfordern, auf Dienste zugreifen und sich per RDP mit Hosts verbinden. Diese Fähigkeit beschleunigt die Eskalation von Privilegien und die laterale Bewegung im gesamten Umfeld. Aktionen, die sonst zeitaufwändigen Diebstahl oder Kompromittierung von Anmeldeinformationen erfordern, können jetzt schnell durchgeführt werden, sodass ein Angreifer sensible Systeme erreicht, bevor die Verteidiger den Einbruch bemerken.

Persistenz

Ein Skeleton Key-Angriff bleibt aktiv, bis der Domain Controller oder der LSASS-Prozess neu gestartet wird, da ein Neustart die im Speicher befindlichen Hooks entfernt. Dies garantiert jedoch nicht, dass der Angreifer keine Fußfassen mehr hat. Beispielsweise könnten Angreifer bereits gefälschte AD-Konten als Backup erstellt oder andere Persistenzmechanismen wie geplante Aufgaben, bösartige Dienste oder registrierungsbasierte Hintertüren installiert haben, die Neustarts überstehen. Sie könnten auch den Domain Controller erneut kompromittieren und Malware neu bereitstellen.

Spuren verwischen

Angreifer konzentrieren sich darauf, ihre Aktivitäten in den normalen Datenverkehr einzufügen, um eine Erkennung zu vermeiden. Sie verwenden legitime Admin-Tools (Living off the Land), um keine neuen Artefakte einzuführen, nutzen normale Protokolle und Konten, ahmen typische Anmeldemuster nach, manipulieren oder löschen Protokolle und vermeiden auffälliges Verhalten (zum Beispiel die Begrenzung von Aktivitäten mit hohem Volumen oder ungewöhnlichen Aktivitäten).

Angriffsablaufdiagramm

Hier ist ein visueller Ablauf des Skeleton Key-Angriffs und eine Beispielgeschichte aus der Perspektive einer Organisation, die die typische Ereigniskette zeigt, vom ersten Eindringen bis zur Benutzerimitation, bis Angreifer wertvolle Daten erreichen und exfiltrieren.

Stellen Sie sich Acom Manufacturing vor, das für Identity und Zugriff auf Active Directory angewiesen ist. Ein Angreifer zielt auf einen Helpdesk-Administrator ab, der Anmeldedaten von einer kompromittierten Website wiederverwendet hat. Mit diesen Anmeldedaten meldet sich der Angreifer an einem Verwaltungsarbeitsplatz an, eskaliert den Zugriff auf einen Domain Controller und setzt die Malware Skeleton Key ein. Mit dem vom Domain Controller akzeptierten Master-Passwort fordert der Angreifer Kerberos-Tickets an, greift auf Dateiserver zu, setzt Werkzeuge ein, um sensible IP- und Finanzdaten zu sammeln, und exfiltriert die Daten, ohne irgendwelche AD-Passworthashes zu ändern.

Beispiele für Skeleton Key-Angriffe

Der Skeleton Key-Angriff erscheint in einigen technischen Analysen und Bedrohungsintelligenzberichten, aber öffentlich verfügbare Offenlegungen mit Opfernamen sind selten. Viele Organisationen und Anbieter behandeln diese Eindringlinge als sensibel und halten Details zurück. Der am weitesten dokumentierte Vorfall ist der Angriff auf die taiwanesische Halbleiterindustrie und Regierung.

Folgen von Skeleton Key-Angriffen

Da die Skeleton Key-Malware den Kern des Authentifizierungssystems einer Organisation kompromittiert, reicht ihre Auswirkung über einen einzelnen Vorfall hinaus und hat weitreichende Folgen, die die Abläufe, Finanzen und den Ruf einer Organisation beeinträchtigen.

Häufige Ziele von Skeleton Key-Angriffen: Wer ist gefährdet?

Skeleton Key-Angriffe richten sich hauptsächlich gegen Organisationen, die für die Authentifizierung auf Active Directory angewiesen sind. Diese Angriffe sind besonders effektiv in großen, komplexen IT-Umgebungen, in denen das Erkennen subtiler Authentifizierungsanomalien schwierig sein kann. Hier sind einige der häufigsten Organisationstypen, die gefährdet sind:

Risikobewertung

Skeleton Key stellt ein erhebliches Risiko für Organisationen dar, da es Active Directory kompromittiert, das die Grundlage der Netzwerk-Authentifizierung bildet.

Wie man Skeleton Key-Angriffe verhindert

Um Skeleton Key-Angriffe zu verhindern, benötigen Organisationen eine Kombination aus starken Zugriffskontrollen, proaktiver Überwachung und Sicherheitsmaßnahmen zum Schutz der Authentifizierungssysteme.

• Wenden Sie die neuesten Patches an: Halten Sie Domänencontroller und Authentifizierungssysteme mit Sicherheitspatches auf dem neuesten Stand, um die Ausnutzung bekannter Schwachstellen zu verhindern. Das Einspielen von Patches reduziert die Angriffsfläche und schließt Einstiegspunkte, die Angreifer nutzen könnten, um einen ersten Zugang zu erhalten.
• Durchsetzung des Prinzips der minimalen Rechte: Beschränken Sie administrative Rechte nur auf diejenigen, die sie wirklich benötigen. Implementieren Sie rollenbasierte Zugriffskontrolle (RBAC), verwenden Sie just-in-time Privileged Access Management und wenden Sie MFA auf alle Administratorkonten an. Administratoren sollten separate Konten für Routinearbeiten und administrative Aufgaben verwenden und alle privilegierten Operationen von gehärteten, isolierten Arbeitsstationen ausführen.
• Überwachen Sie die LSASS-Aktivität: Beobachten Sie kontinuierlich ungewöhnliches Verhalten in LSASS, wie z. B. Speicherzugriffe oder Versuche zur Prozessinjektion, die Indikatoren für Skeleton Key-Angriffe sind.
• Implementieren Sie einen fortschrittlichen Endpunktschutz: Setzen Sie eine Endpoint Detection and Response (EDR)-Lösung ein, die In-Memory-Angriffe, verdächtige Systemaufrufe und Manipulationen von Anmeldeinformationen erkennen kann, die von Antivirus-Programmen möglicherweise übersehen werden.
• Nutzen Sie die SIEM-Korrelation: Verwenden Sie eine Security Information and Event Management (SIEM)-Plattform, um verdächtige Authentifizierungsversuche zu korrelieren, insbesondere mehrere erfolgreiche Authentifizierungen mit nicht übereinstimmenden Quell-IP-Adressen oder Anmeldungen außerhalb der Geschäftszeiten.

Wie Netwrix helfen kann

Netwrix bietet Lösungen, die helfen können, sich gegen anmeldeinformationsbasierte Angriffe, einschließlich Skeleton Key, durch Erkennung, Zugriffskontrollen und Überwachung zu verteidigen.

Netwrix Threat Manager

Die Anwendung Threat Manager befähigt Organisationen, sich mit den folgenden Funktionen gegen Skeleton Key-Angriffe zu schützen:

• Verwendet Verhaltensanalysen und Heuristiken, um Angriffe im Speicher zu erkennen (einschließlich Skeleton Key und anderer Werkzeuge zum Diebstahl von Anmeldeinformationen).
• Setzt täuschungsbasierte Erkennung ein, wie Köder und Honeytoken-Anmeldeinformationen, um Angreifer anzulocken und Warnungen zu erzeugen, wenn diese verwendet werden.
• Korreliert verdächtige Ereignisse und Anomalien (wie ungewöhnliche Anmeldeversuche, laterale Bewegungsmuster, Verwendung von Honeytoken-Anmeldeinformationen), um mögliche Angriffe auf Anmeldeinformationen oder den Speicher zu kennzeichnen.

Netwrix Threat Prevention

Die Threat Prevention Anwendung umfasst Funktionen, die speziell entwickelt wurden, um den LSASS-Prozess zu überwachen und zu schützen (dieser ist ein Hauptziel für Skeleton Key und andere Tools zum Diebstahl von Zugangsdaten).

• Die Funktion LSASS Guardian Monitor überwacht unautorisierte Handle-Anfragen (Lesen, Schreiben, Thread-Erstellung), die von nicht auf der Whitelist stehenden Prozessen auf LSASS abzielen, und generiert Warnungen, wenn verdächtige Speicherzugriffsoperationen festgestellt werden.
• Wenn ein nicht vertrauenswürdiger Prozess versucht, einen Handle zum LSASS-Prozess mit Lese-, Schreib- oder Thread-Erstellungsrechten zu öffnen, wird die LSASS Guardian Protect-Funktion von Threat Prevention diese Anfrage abfangen und bösartige Angriffe im Arbeitsspeicher blockieren, ohne den Prozess zum Absturz zu bringen.

Netwrix Identity Threat Detection & Response (ITDR)

Die Software Threat Manager und Threat Prevention ist Teil der Netwrix ITDR Lösung. Insgesamt bietet die ITDR-Plattform eine robuste Funktionalität, die:

• Überwacht das Verhalten privilegierter Identitäten (administrative Konten, Dienstkonten) auf Anomalien bei Authentifizierungsmustern, ungewöhnlichen Anmeldezeiten, Quell-IP-Adressen und Versuchen der Nachahmung.
• Kennzeichnet Missbrauch von Anmeldeinformationen, Identitätsdiebstahl und verdächtige Nutzungsmuster von Konten auf eine Weise, die mit den Taktiken von Skeleton Key übereinstimmt.
• Bietet vollständige Prüfpfade und Sitzungsverläufe zur Unterstützung der Vorfalluntersuchung.

Netwrix Privileged Access Management (PAM)

Die Privileged Access Management Lösung hilft, das Zeitfenster zu minimieren, in dem Angreifer privilegierte Konten ausnutzen können. Damit können Organisationen:

• Durchsetzung von just-in-time (JIT)-Zugriff, der nur bei Bedarf erhöhte Privilegien gewährt und diese kurz danach widerruft.
• Wenden Sie Zero Standing Privilege an, damit keine hochprivilegierten Konten ständig verwendet werden.
• Implementieren Sie rollenbasierte Zugriffskontrolle (RBAC), um das Ausmaß zu begrenzen, in dem Konten seitlich bewegen oder eskalieren können, sowie den Umfang und das seitliche Bewegungspotenzial von Sitzungen mit hohen Berechtigungen einzuschränken.

Erkennungs-, Milderungs- und Reaktionsstrategien

Um sich gegen Skeleton Key-Angriffe zu verteidigen, müssen Organisationen Manipulationen im Arbeitsspeicher in den frühesten Phasen erkennen, Kompromittierungen schnell eindämmen und Persistenz beseitigen.

Erkennung

Skeleton Key arbeitet vollständig im Arbeitsspeicher und erzeugt keinen Netzwerkverkehr, weshalb es kaum Spuren in herkömmlichen Protokollen hinterlässt und herkömmliche netzwerkbasierte IDS/IPS-Erkennung umgeht. Daher sind Überwachung und Verhaltensanalysen unerlässlich, um verdächtige Aktivitäten zu erkennen, die auf eine Kompromittierung hinweisen. Organisationen sollten Folgendes in Betracht ziehen:

• Führen Sie eine Speicheranalyse auf Domänencontrollern durch, um LSASS-Codeinjektionen oder unautorisierte Module zu erkennen. Tools wie Volatility, Sysinternals RAMMap und EDR-Telemetrie können anomale DLLs oder injizierte Threads identifizieren. Achten Sie insbesondere auf nicht signierte Module, Module, die von unerwarteten Dateipfaden (wie temporären Verzeichnissen) geladen werden, oder Hooks, die auf Authentifizierungsfunktionen gesetzt sind. Organisationen sollten eine Basislinie des normalen LSASS-Speicherzustands erstellen, die ihnen helfen kann, Abweichungen zu erkennen, die auf eine mögliche Kompromittierung hinweisen.
• Korrelation von Authentifizierungsanomalien, die die Verwendung der Skeleton Key Master-Anmeldeinformationen erkennen können. Überwachen Sie Sicherheitsereignisprotokolle und Authentifizierungsserver auf Muster wie erfolgreiche Anmeldungen, bei denen falsche Passwörter eingegeben wurden.
• Überwachen Sie Kerberos-Ticketanfragen, die von normalen Mustern abweichen. Zum Beispiel Anfragen für Service-Tickets ohne entsprechende Ticket-Granting Ticket (TGT)-Anfragen oder wiederholte TGS-REQs von unerwarteten Hosts.
• Überprüfen Sie die Windows-Ereignisprotokolle auf ungewöhnlichen LSASS-Zugriff oder unerwartete Dienstneustarts. Wichtige Ereignis-IDs sind 4624 und 4672 für privilegierte Anmeldesitzungen, 4688 für verdächtige Prozessstarts mit LSASS-Interaktion sowie 7036 und 7034 für Dienststatusänderungen oder unerwartete Beendigungen. Jeder Nicht-Systemprozess, der auf den LSASS-Speicher zugreift, ist ein Warnsignal.
• Integration mit SIEM- und ITDR-Tools (zum Beispiel Netwrix Threat Manager und Threat Prevention), um Verhaltensanomalien, Missbrauch von Zugangsdaten und Speicher-Indikatoren für Kompromittierungen zu korrelieren. Konfigurieren Sie Erkennungsregeln, die mehrere schwache Signale zu vertrauenswürdigen Alarmen zusammenführen, wie z. B. Aktivitäten privilegierter Konten aus ungewöhnlichen Geolokationen oder außerhalb der Geschäftszeiten, kombiniert mit LSASS-Speicherzugriffswarnungen. Dieser Ansatz filtert Fehlalarme heraus und erkennt Angriffe, die Einzelpunkt-Erkennungsmechanismen umgehen.
• SecureWorks CTU beobachtete ein subtil operationales Symptom eines Skeleton Key-Angriffs. Kurz nach der Verbreitung der Malware treten bei Domänencontrollern unerklärliche Active Directory-Replikationsfehler auf. Dies sind Probleme, die der Microsoft-Support nicht erklären oder endgültig lösen konnte, bis die Domänencontroller neu gestartet wurden. Organisationen sollten solche Replikationsanomalien als potenzielles Warnsignal für eine versteckte Kompromittierung betrachten.
• CTU-Forscher haben auch YARA-Signaturen entwickelt, um die Skeleton Key DLL und den spezifischen Code, den sie in den LSASS-Prozessspeicher injiziert, zu erkennen. Die Verwendung dieser Signaturen mit Endpoint-Erkennungstools und forensischen Scannern kann helfen, In-Memory-Artefakte von Skeleton Key-Infektionen zu identifizieren. Dies ist eine der wenigen zuverlässigen technischen Methoden zur Erkennung.

Minderungsmaßnahmen

Die Minderung konzentriert sich darauf, die Angriffsfläche zu reduzieren, die Authentifizierungskontrollen zu stärken und Abwehrmaßnahmen einzusetzen, die verhindern, dass Angreifer Code einschleusen oder erhöhte Privilegien erlangen. Organisationen sollten die folgenden Kontrollen implementieren:

• Wenden Sie die neuesten Sicherheitspatches an auf alle Domänencontroller und Authentifizierungssysteme an, um bekannte Schwachstellen bei der Privilegieneskalation zu beseitigen. Bevorzugen Sie Updates, die Remote-Code-Ausführung, Privilegieneskalation und LSASS-bezogene Schwachstellen beheben.
• Erzwingen Sie MFA für alle privilegierten Konten, einschließlich Domain Admins, Enterprise Admins und Dienstkonten mit erhöhten Berechtigungen. Die MFA-Anforderungen sollten auch auf administrative Protokolle wie RDP, PowerShell-Remoting und den Zugriff auf die Domain-Controller-Konsole sowie auf alle Fernzugriffslösungen wie VPNs und Webmail ausgeweitet werden. MFA blockiert einen Skeleton Key-Angriff nicht vollständig, kann jedoch das Risiko eines unbefugten Zugriffs und lateraler Bewegungen im Netzwerk verringern.
• Beschränken Sie Domain Admin- und Enterprise Admin-Berechtigungen nur auf das notwendige Personal und erzwingen Sie Just-in-Time (JIT)-Erhöhungen durch PAM-Lösungen. Ermöglichen Sie zeitlich begrenzte Sitzungen, die erhöhte Berechtigungen nach Abschluss der Aufgabe automatisch widerrufen.
• Setzen Sie Tools zur Erkennung von Angriffen im Arbeitsspeicher ein wie Netwrix Threat Prevention (LSASS Guardian) oder EDR-Agenten ein, um den unbefugten Zugriff auf LSASS in Echtzeit zu überwachen und zu blockieren.
• Sichern Sie Active Directory-Konfigurationen durch die folgenden Maßnahmen:
  • Deaktivieren Sie unnötige Dienste auf Domänencontrollern (wie Druckwarteschlange, Serverdienst, wenn nicht erforderlich).
  • Implementieren Sie Service-Steuerrichtlinien, die unautorisierte Neustarts oder Änderungen von Diensten verhindern.
  • Deaktivieren Sie Konten, die nicht mehr benötigt werden.
  • Überprüfen und beschränken Sie Delegierungseinstellungen, um zu verhindern, dass Angreifer die Delegierung missbrauchen.
  • Aktivieren Sie die erweiterte Audit-Policy-Konfiguration, um detaillierte Authentifizierungs- und Privilegiennutzungsereignisse zu erfassen.
• Segmentieren Sie administrative Arbeitsstationen mit Privileged Access Workstations (PAWs), um sicherzustellen, dass administrative Sitzungen in isolierten, kontrollierten Umgebungen stattfinden. Ziehen Sie die Implementierung von Credential Tiering (Stufe 0 für Domain-Controller, Stufe 1 für Server, Stufe 2 für Arbeitsstationen) in Betracht, um zu verhindern, dass Anmeldeinformationen aus niedrigeren Stufen Diebstahl an Systemen mit höheren Privilegien verursachen.

Antwort

Eine schnelle und gut geplante Reaktion auf Vorfälle ist entscheidend, wenn Sie einen Skeleton Key-Befall vermuten. Das Ziel ist es, die Sicherheitsverletzung einzudämmen, die Integrität des Authentifizierungsmechanismus wiederherzustellen und Persistenz zu entfernen.

• Isolieren Sie den betroffenen Domänencontroller sofort vom Netzwerk, um laterale Bewegungen und weiteren Missbrauch von Anmeldeinformationen zu verhindern. Wenn mehrere Domänencontroller als kompromittiert vermutet werden, isolieren Sie diese gleichzeitig. Erfassen Sie vor der Isolation einen Speicherabbild des LSASS-Prozesses für die forensische Analyse, da diese Beweise beim Neustart oder Herunterfahren verloren gehen.
• Entfernen Sie die Malware durch eine vertrauenswürdige Systemwiederherstellung oder das Wiederherstellen von verifizierten sauberen Backups. Nach der Entfernung überprüfen Sie, ob LSASS normal funktioniert, indem Sie geladene Module prüfen, das Authentifizierungsverhalten überwachen und bestätigen, dass kein unautorisierter Code im Speicher verbleibt. Dies stellt sicher, dass die Integrität von LSASS und Active Directory wiederhergestellt ist.
• Drehen Sie alle privilegierten Anmeldeinformationen, einschließlich Domain Admin-, Service- und KRBTGT-Passwörter, um gestohlene oder gefälschte Tokens ungültig zu machen.
• Führen Sie eine vollständige Active Directory-Prüfung durch um unautorisierte Gruppenmitgliedschaften, Privilegienänderungen oder persistente Hintertüren (wie Golden Ticket- oder SIDHistory-Missbrauch) zu erkennen. Tools wie Netwrix Auditor können helfen, ungewöhnliche Privilegienbeziehungen und Fehlkonfigurationen zu identifizieren.
• Führen Sie eine forensische Untersuchung durch unter Verwendung von Endpoint-Forensik und Active Directory-Protokollen, um die Ursache und das Ausmaß der Kompromittierung zu ermitteln. Konzentrieren Sie sich auf Hinweise auf LSASS-Speicherzugriffe, unautorisierte Anmeldungen und Credential-Dumping-Tools.
• Langfristige Überwachung verstärken nach einem Vorfall mit ITDR- und SIEM-Korrelationsregeln, die auf LSASS-Zugriffe und abnormale Authentifizierungsmuster abgestimmt sind.

Branchenspezifische Auswirkungen

Skeleton-Key-Angriffe können je nach Sensibilität der Daten in verschiedenen Branchen schwerwiegende und vielfältige Folgen haben. Unabhängig von der Branche verschafft der Angriff Angreifern uneingeschränkten Zugriff auf kritische Systeme, was groß angelegten Datendiebstahl und Betriebsstörungen ermöglicht.

Entwicklung von Angriffen und zukünftige Trends

Bedrohungsakteure integrieren die Skeleton Key-Technik zunehmend in größere, mehrstufige Angriffskampagnen, um Persistenz zu gewährleisten, Privilegien zu erhöhen und die Kontrolle über die Domäne zu übernehmen. Neue automatisierte Werkzeuge und KI-gestützte Umgehungstechniken machen diese Angriffe schneller einsatzbereit, schwerer zu erkennen und leichter verbreitbar. Hier sind einige aktuelle Trends:

Wichtige Statistiken und Infografiken

Werfen wir einen Blick auf einige Fakten und Visualisierungen, die das Ausmaß und die Auswirkungen von Skeleton Key-Angriffen erfassen.

• In früheren Skeleton Key-Fällen (etwa von 2013 bis 2015) beobachteten Forscher, dass Skeleton Key zusammen mit Backdoor.Winnti verwendet wurde, was darauf hindeutet, dass es Teil eines umfassenderen Eindringens und der Nutzung von Backdoor-Tools war.
• Ein HYPR/Vanson Bourne report aus dem Jahr 2022 ergab, dass Finanzinstitute durchschnittlich 2,19 Millionen US-Dollar jährliche Verluste durch Verstöße im Zusammenhang mit Schwächen bei der Authentifizierung erlitten.
• Laut dem IBM's 2024 Cost of a Data Breach Report dauerten Verstöße, die durch gestohlene oder kompromittierte Zugangsdaten verursacht wurden, am längsten, um erkannt und eingedämmt zu werden, mit einer durchschnittlichen Dauer von 292 Tagen. Dies ermöglicht Angreifern fast 10 Monate uneingeschränkten Zugriff vor der Entdeckung.
• Experten sind sich einig, dass die Wiederherstellungskosten bei einer Kompromittierung des Domain Controllers aufgrund der Notwendigkeit einer vollständigen Active Directory-Rekonstruktion deutlich höher sind als bei Standardverletzungen.

Abschließende Gedanken

Wie die Generalschlüssel von früher, die jede Tür in einem Gebäude öffnen konnten, verschafft der Skeleton Key-Angriff Bedrohungsakteuren uneingeschränkten Zugriff auf Ihre gesamte Domain. Einmal in Ihr Active Directory eingefügt, öffnet dieser digitale Generalschlüssel jedes Konto, umgeht jedes Passwort und gewährt unbegrenzten Zugang – still und unsichtbar.

Der Unterschied? In der physischen Welt würden Sie bemerken, wenn jemand Ihre Schlösser knackt. Aber in Ihrem Netzwerk kann ein Skeleton Key monatelang verborgen bleiben und sich unbemerkt drehen, während Ihr Sicherheitsteam die Haustür bewacht. Die gute Nachricht ist, dass dieser Angriff Spuren hinterlässt. Mit ordnungsgemäßem Monitoring, Patch-Management und Privileged Access Management können Sie den Angriff erkennen und die Tür zuschlagen, bevor echter Schaden entsteht.

Die Sicherheit Ihrer Domain ist nur so stark wie Ihr schwächstes Authentifizierungselement. Stellen Sie sicher, dass ein Skeleton Key sie nicht öffnen kann.