Attacco Skeleton Key: come funziona e come rilevarlo

Cos'è il malware Skeleton Key?

Il malware Skeleton Key è una backdoor furtiva in memoria che altera il processo di autenticazione di Active Directory, consentendo a un attaccante di autenticarsi utilizzando una singola credenziale “master” (password). Non ruba né sostituisce le password degli utenti; modifica la logica di autenticazione su un controller di dominio per accettare la credenziale master contraffatta con qualsiasi nome utente valido.

Per modificare il processo di autenticazione, il malware inietta codice dannoso in LSASS (Local Security Authority Subsystem Service) su un controller di dominio compromesso, che modifica o aggancia la routine di autenticazione. Una volta impiantato, LSASS accetterà la credenziale master dell’attaccante durante le richieste di autenticazione, permettendo efficacemente all’attaccante di accedere come qualsiasi utente esistente. Poiché questo controllo avviene nella memoria di LSASS, la credenziale master non deve essere registrata nel database di Active Directory (NTDS.dit). Active Directory rimane invariato e le credenziali normali continuano a funzionare, rendendo difficile individuare l’impianto.

C’è però un problema. Se un sito Active Directory ha più controller di dominio, l’impianto Skeleton Key deve essere presente su ogni DC per garantire che la password master Skeleton Key venga accettata come password valida dell’utente.DCLocator, che sceglie effettivamente un controller di dominio a caso. Quindi, se un client si autentica a un controller di dominio che non ha Skeleton Key installato, la password master fallirà.

Il processo di autenticazione normale e come Skeleton Key lo bypassa

Skeleton Key non bypassa il controllo dell'esistenza dell'account; bypassa solo la fase di convalida della password. Quando un utente effettua l'accesso:

• Il DC verifica prima se il nome utente esiste in Active Directory (questo passaggio non viene saltato).
• Successivamente, LSASS normalmente chiede ad AD (o al pacchetto di autenticazione) di convalidare la password fornita confrontandola con gli hash memorizzati o le chiavi Kerberos. È qui che interviene Skeleton Key. Prima che avvenga la convalida normale, il codice dannoso cerca la credenziale master dell’attaccante (password speciale o token). Se questa viene presentata, LSASS restituisce successo e il login procede (anche se tale credenziale non esiste in Active Directory).

In breve, Skeleton Key consente alla password principale di essere accettata come valida per qualsiasi account esistente. L'account stesso deve essere un oggetto utente AD legittimo.

Gravità dell'attacco

L'obiettivo principale di un attacco Skeleton Key è mantenere un accesso persistente, non rilevato e quasi totale al dominio di una rete, con l'attaccante che si muove lateralmente e utilizza impropriamente i privilegi senza dover compromettere gli account. Poiché la modifica avviene in memoria, il rilevamento richiede EDR e analisi forense della memoria, controlli di integrità LSASS e un attento monitoraggio di AD e comportamentale, piuttosto che semplici scansioni di file o registri di cambio password.

Come funziona il malware Skeleton Key?

Ecco una guida al ciclo di vita dell'attacco Skeleton Key e cosa significa praticamente ogni fase.

Compromissione iniziale

L'attacco inizia quando un aggressore ottiene l'accesso privilegiato a un domain controller o a un account con permessi per installare codice su un domain controller. I vettori comuni di una violazione iniziale includono spear-phishing, credenziali rubate o riutilizzate, sfruttamento di una vulnerabilità non patchata o uso improprio di strumenti di amministrazione remota (RDP, VPN, console di gestione remota).

Distribuzione di malware

Dopo aver ottenuto l'accesso, l'attaccante normalmente carica il file DLL Skeleton Key in una directory di staging su un jump host nella rete della vittima. Successivamente, utilizza credenziali privilegiate, come Domain Administrator, per copiare il file binario Skeleton Key nel domain controller ed eseguirlo per iniettarlo nel processo LSASS. LSASS gestisce l'autenticazione di Windows, quindi iniettando codice che modifica o aggancia la routine di autenticazione in memoria, il malware può intercettare le richieste di autenticazione in memoria. Non modifica i file né cambia gli hash delle password degli utenti in Active Directory; invece, cambia ciò che il domain controller accetta durante l'autenticazione. Di conseguenza, il domain controller continuerà a riportare un comportamento di autenticazione normale per le credenziali legittime, accettando anche la password master backdoor.

Una volta che Skeleton Key è stato distribuito con successo, gli aggressori eliminano il file DLL di Skeleton Key dai controller di dominio target e dalla directory di staging sull'host jump.

Sovrascrittura dell'autenticazione

Con il suo codice in esecuzione all’interno di LSASS, il malware intercetta i tentativi di accesso e implementa un bypass: se una password presentata corrisponde alla “master” password segreta dell’attaccante, il domain controller restituisce un’autenticazione riuscita per qualsiasi nome utente fornito. In questo modo, l’attaccante può autenticarsi come qualsiasi account di dominio (inclusi account con privilegi elevati). Poiché l’attacco non modifica gli hash delle password memorizzati in Active Directory, le normali verifiche delle password e le ispezioni della directory non rileveranno nulla di anomalo, rendendo questa sovrascrittura furtiva e pericolosa.

Movimento laterale

Armato di una password principale, l'attaccante può impersonare qualsiasi utente e richiedere ticket Kerberos, accedere ai servizi e connettersi tramite RDP agli host. Questa capacità accelera l'escalation dei privilegi e il movimento laterale nell'ambiente. Azioni che altrimenti richiederebbero il furto o il compromesso delle credenziali, che richiede tempo, possono ora essere eseguite rapidamente, permettendo all'attaccante di raggiungere sistemi sensibili prima che i difensori si accorgano della violazione.

Persistenza

Un attacco Skeleton Key rimane attivo fino al riavvio del domain controller o del processo LSASS, poiché un riavvio rimuove gli hook in memoria. Tuttavia, ciò non garantisce che l’attaccante non abbia più punti di appoggio. Ad esempio, gli attaccanti potrebbero aver già creato account AD falsi come piano di riserva o installato altri meccanismi di persistenza come attività pianificate, servizi dannosi o backdoor basate sul registro che sopravvivono ai riavvii. Potrebbero anche riconquistare il domain controller e ridistribuire malware.

Coprire le tracce

Gli aggressori si concentrano sul mimetizzare la loro attività nel traffico normale per evitare di essere rilevati. Utilizzano strumenti amministrativi legittimi (Living off the Land) per evitare di introdurre nuovi artefatti, usano protocolli e account normali, imitano schemi di accesso tipici, manomettendo o cancellando i log, e evitano comportamenti rumorosi (ad esempio, limitano attività ad alto volume o insolite).

Diagramma del flusso di attacco

Ecco un flusso visivo dell'attacco Skeleton Key e un esempio di storia dal punto di vista di un'organizzazione che mostra la tipica catena di eventi, dalla compromissione iniziale all'imitazione dell'utente, fino a quando gli aggressori raggiungono dati preziosi e li esfiltrano.

Immagina Acom Manufacturing, che si affida ad Active Directory per l'identità e l'accesso. Un attaccante prende di mira un amministratore helpdesk che ha riutilizzato credenziali da un sito violato. Utilizzando quelle credenziali, l'attaccante accede a una workstation di gestione, eleva i privilegi a un domain controller e distribuisce il malware Skeleton Key. Con la password master accettata dal domain controller, l'attaccante richiede ticket Kerberos, accede ai file server, distribuisce strumenti per raccogliere dati sensibili di proprietà intellettuale e finanziari, ed esfiltra i dati senza modificare alcun hash di password di AD.

Esempi di attacchi Skeleton Key

L'attacco Skeleton Key appare in alcune analisi tecniche e rapporti di threat-intelligence, ma le divulgazioni pubbliche con i nomi delle vittime sono rare. Molte organizzazioni e fornitori considerano queste intrusioni sensibili e trattengono i dettagli. L'incidente più ampiamente documentato è l'attacco al settore dei semiconduttori e al governo di Taiwan.

Conseguenze degli attacchi Skeleton Key

Poiché il malware Skeleton Key compromette il cuore del sistema di autenticazione di un’organizzazione, il suo impatto va oltre un singolo incidente, con conseguenze di vasta portata che influenzano le operazioni, le finanze e la reputazione dell’organizzazione.

Obiettivi comuni degli attacchi Skeleton Key: chi è a rischio?

Gli attacchi Skeleton Key prendono di mira principalmente le organizzazioni che si affidano ad Active Directory per l'autenticazione. Questi attacchi sono particolarmente efficaci contro ambienti IT grandi e complessi, dove rilevare sottili anomalie di autenticazione può essere difficile. Ecco alcuni dei tipi più comuni di organizzazioni a rischio:

Valutazione del rischio

Skeleton Key rappresenta un rischio significativo per le organizzazioni perché compromette Active Directory, che è la base stessa dell'autenticazione di rete.

Come prevenire gli attacchi Skeleton Key

Per prevenire gli attacchi Skeleton Key, le organizzazioni necessitano di una combinazione di controlli di accesso rigorosi, monitoraggio proattivo e misure di sicurezza per proteggere i sistemi di autenticazione.

• Applica le ultime patch: Mantieni i controller di dominio e i sistemi di autenticazione aggiornati con le patch di sicurezza per prevenire lo sfruttamento di vulnerabilità note. L'applicazione delle patch riduce la superficie di attacco e chiude i punti di accesso che gli aggressori potrebbero utilizzare per ottenere un primo accesso.
• Applica il principio del privilegio minimo: Limita i diritti amministrativi solo a chi ne ha realmente bisogno. Implementa il controllo degli accessi basato sui ruoli (RBAC), utilizza Privileged Access Management just-in-time e applica MFA a tutti gli account amministrativi. Gli amministratori dovrebbero usare account separati per il lavoro di routine e per le attività amministrative, eseguendo tutte le operazioni privilegiate da workstation rinforzate e isolate.
• Monitora l'attività di LSASS: Sorveglia continuamente comportamenti insoliti in LSASS, come accessi alla memoria o tentativi di iniezione di processi, che sono indicatori di attacchi Skeleton Key.
• Implementare una protezione avanzata degli endpoint: Distribuire una soluzione di endpoint detection and response (EDR) in grado di rilevare attacchi in memoria, syscalls sospette e manipolazione delle credenziali che l'antivirus potrebbe non individuare.
• Sfrutta la correlazione SIEM: Usa una piattaforma di security information and event management (SIEM) per correlare tentativi di autenticazione sospetti, in particolare più autenticazioni riuscite con IP di origine non corrispondenti o accessi fuori dall’orario lavorativo.

Come Netwrix può aiutare

Netwrix offre soluzioni che possono aiutare a difendersi dagli attacchi basati su credenziali, incluso Skeleton Key, attraverso il rilevamento, i controlli di accesso e il monitoraggio.

Netwrix Threat Manager

L'applicazione Threat Manager consente alle organizzazioni di proteggersi dagli attacchi Skeleton Key con le seguenti funzionalità:

• Utilizza analisi comportamentali e euristiche per rilevare attacchi in memoria (inclusi Skeleton Key e altri strumenti di furto di credenziali).
• Implementa il rilevamento basato sull'inganno, come esche e credenziali honeytoken, per attirare gli aggressori e generare avvisi quando vengono utilizzati.
• Correlazione di eventi sospetti e anomalie (come tentativi di accesso insoliti, schemi di movimento laterale, uso di credenziali honeytoken) per segnalare possibili attacchi alle credenziali o alla memoria.

Netwrix Threat Prevention

L'applicazione Threat Prevention include funzionalità specificamente progettate per monitorare e proteggere il processo LSASS (che è un obiettivo principale per Skeleton Key e altri strumenti di furto di credenziali).

• La funzione LSASS Guardian Monitor monitora le richieste di handle non autorizzate (lettura, scrittura, creazione di thread) provenienti da processi non presenti nella whitelist che prendono di mira LSASS, e genera avvisi quando vengono osservate operazioni sospette di accesso alla memoria.
• Quando un processo non attendibile tenta di aprire un handle al processo LSASS con permessi di lettura, scrittura o creazione di thread, la funzione LSASS Guardian Protect di Threat Prevention intercetterà tale richiesta e bloccherà gli attacchi dannosi in memoria senza causare il crash del processo.

Netwrix Identity Threat Detection & Response (ITDR)

Il software Threat Manager e Threat Prevention fa parte della soluzione Netwrix ITDR. Complessivamente, la piattaforma ITDR offre funzionalità robuste che:

• Monitora il comportamento delle identità privilegiate (account amministrativi, account di servizio) per anomalie nei modelli di autenticazione, orari di accesso insoliti, IP di origine e tentativi di impersonificazione.
• Segnala l'abuso di credenziali, l'impersonificazione di credenziali e modelli sospetti di utilizzo degli account in modo coerente con le tattiche di Skeleton Key.
• Fornisce registri completi di controllo e cronologie delle sessioni per supportare le indagini sugli incidenti.

Netwrix Privileged Access Management (PAM)

La soluzione Privileged Access Management aiuta a ridurre al minimo la finestra temporale in cui gli aggressori possono sfruttare gli account privilegiati. Utilizzandola, le organizzazioni possono:

• Applicare l’accesso just-in-time (JIT), concedendo privilegi elevati solo quando necessario e revocandoli subito dopo.
• Applica il principio del privilegio zero permanente, in modo che nessun account di alto livello sia in uso costante.
• Implementa il controllo degli accessi basato sui ruoli (RBAC) per limitare il grado in cui gli account possono muoversi lateralmente o aumentare i privilegi, oltre a limitare l'ambito e il potenziale movimento laterale delle sessioni ad alto privilegio.

Strategie di rilevamento, mitigazione e risposta

Per difendersi dagli attacchi Skeleton Key, le organizzazioni devono rilevare la manipolazione in memoria nelle fasi più precoci, contenere rapidamente qualsiasi compromissione ed eliminare la persistenza.

Rilevamento

Skeleton Key funziona interamente in memoria e non genera traffico di rete, motivo per cui lascia a malapena tracce nei log convenzionali e sfugge al rilevamento IDS/IPS basato sulla rete convenzionale. Pertanto, il monitoraggio e l'analisi comportamentale sono essenziali per identificare attività sospette che indicano una compromissione. Le organizzazioni dovrebbero considerare quanto segue:

• Eseguire l'analisi della memoria sui controller di dominio per rilevare l'iniezione di codice LSASS o moduli non autorizzati. Strumenti come Volatility, Sysinternals RAMMap e la telemetria EDR possono identificare DLL anomale o thread iniettati. In particolare, cercare moduli non firmati, moduli caricati da percorsi di file inattesi (come directory temporanee) o hook posizionati sulle funzioni di autenticazione. Le organizzazioni dovrebbero stabilire una baseline dello stato normale della memoria LSASS, che può aiutarle a identificare deviazioni che indicano un possibile compromesso.
• Correlare le anomalie di autenticazione, che possono individuare l'uso della credenziale master Skeleton Key. Monitorare i log degli eventi di sicurezza e i server di autenticazione per pattern come accessi riusciti in cui sono state inserite password errate.
• Monitora le richieste di ticket Kerberos che deviano dai modelli normali. Ad esempio, richieste di ticket di servizio senza richieste corrispondenti di Ticket-Granting Ticket (TGT) o richieste TGS-REQ ripetute da host inattesi.
• Ispeziona i registri eventi di Windows per accessi insoliti a LSASS o riavvii imprevisti dei servizi. Gli ID evento chiave includono 4624 e 4672 per sessioni di accesso privilegiate, 4688 per la creazione sospetta di processi con interazione LSASS, e 7036 e 7034 per cambiamenti di stato del servizio o terminazioni inattese. Qualsiasi processo non di sistema che accede alla memoria LSASS è un segnale d’allarme.
• Integra con strumenti SIEM e ITDR (ad esempio, Netwrix Threat Manager e Threat Prevention) per correlare anomalie comportamentali, uso improprio delle credenziali e indicatori di compromissione a livello di memoria. Configura regole di rilevamento che correlano più segnali deboli in allarmi ad alta affidabilità, come attività di account privilegiati da geolocalizzazioni insolite o fuori dall’orario lavorativo combinate con allarmi di accesso alla memoria LSASS. Questo approccio filtra i falsi positivi catturando gli attacchi che bypassano i meccanismi di rilevamento a punto singolo.
• SecureWorks CTU ha osservato un sottile sintomo operativo di un attacco Skeleton Key. Poco dopo il dispiegamento del malware, i controller di dominio hanno subito inspiegabili errori di replica di Active Directory. Questi sono problemi che il supporto Microsoft non è stato in grado di spiegare o risolvere definitivamente fino al riavvio dei controller di dominio. Le organizzazioni dovrebbero considerare tali anomalie di replica come un possibile segnale di compromissione nascosta.
• I ricercatori CTU hanno anche sviluppato firme YARA per aiutare a rilevare la DLL Skeleton Key e il codice specifico che inietta nella memoria del processo LSASS. L'uso di queste firme con strumenti di rilevamento endpoint e scanner forensi può aiutare a identificare gli artefatti in memoria delle infezioni da Skeleton Key. Questo è uno dei pochi metodi tecnici affidabili per la rilevazione.

Passi di mitigazione

La mitigazione si concentra sulla riduzione della superficie di attacco, sul rafforzamento dei controlli di autenticazione e sull'implementazione di difese che impediscano agli aggressori di iniettare codice o ottenere privilegi elevati. Le organizzazioni dovrebbero implementare i seguenti controlli:

• Applica le ultime patch di sicurezza a tutti i controller di dominio e ai sistemi di autenticazione per eliminare le vulnerabilità note di escalation dei privilegi. Dai priorità agli aggiornamenti che risolvono l'esecuzione remota di codice, l'escalation dei privilegi e le vulnerabilità correlate a LSASS.
• Applicare MFA a tutti gli account privilegiati, inclusi Domain Admins, Enterprise Admins e account di servizio con permessi elevati. Dovrebbero inoltre estendere i requisiti MFA ai protocolli amministrativi come RDP, PowerShell remoting e accesso alla console del domain controller, così come a tutte le soluzioni di accesso remoto come VPN e webmail. MFA non blocca completamente un attacco Skeleton Key, ma può ridurre il rischio di accessi non autorizzati e movimenti laterali nella rete.
• Limitare i privilegi di Domain Admin e Enterprise Admin solo al personale essenziale e applicare l’elevazione just-in-time (JIT) tramite soluzioni PAM. Consentire sessioni a tempo limitato che revocano automaticamente i permessi elevati dopo il completamento del compito.
• Distribuire strumenti di rilevamento degli attacchi in memoria come Netwrix Threat Prevention (LSASS Guardian) o agenti EDR per monitorare e bloccare l'accesso non autorizzato a LSASS in tempo reale.
• Rafforzare le configurazioni di Active Directory attraverso le seguenti misure:
  • Disabilitare i servizi non necessari sui controller di dominio (come Print Spooler, Server service se non richiesti).
  • Implementa politiche di controllo dei servizi che impediscano riavvii o modifiche non autorizzate dei servizi.
  • Disabilita gli account che non sono più necessari.
  • Verifica e limita le impostazioni di delega per impedire agli aggressori di abusare della delega.
  • Abilita la Configurazione Avanzata della Politica di Audit per acquisire eventi dettagliati di autenticazione e utilizzo dei privilegi.
• Segmentare le workstation amministrative utilizzando privileged access workstations (PAWs) per garantire che le sessioni amministrative avvengano in ambienti isolati e controllati. Considerare l'implementazione della suddivisione delle credenziali (tier 0 per domain controllers, tier 1 per servers, tier 2 per workstations) per prevenire che il furto di credenziali da livelli inferiori influenzi sistemi con privilegi più elevati.

Risposta

Una risposta rapida e ben pianificata agli incidenti è fondamentale se si sospetta un'infezione da Skeleton Key. L'obiettivo è contenere la violazione, ripristinare l'integrità del meccanismo di autenticazione e rimuovere la persistenza.

• Isolare immediatamente il domain controller interessato dalla rete per prevenire movimenti laterali e ulteriori abusi delle credenziali. Se si sospetta che più domain controller siano compromessi, isolarli simultaneamente. Prima dell’isolamento, acquisire un dump di memoria del processo LSASS per l’analisi forense, poiché questa prova andrà persa al riavvio o allo spegnimento.
• Rimuovere il malware eseguendo una ricostruzione del sistema attendibile o ripristinando da backup puliti verificati. Dopo la rimozione, verificare che LSASS funzioni normalmente controllando i moduli caricati, monitorando il comportamento di autenticazione e confermando che non rimanga codice non autorizzato in memoria. Questo garantisce il ripristino dell'integrità di LSASS e Active Directory.
• Ruota tutte le credenziali privilegiate, inclusi Domain Admin, service e password KRBTGT, per invalidare eventuali token rubati o contraffatti.
• Esegui una revisione completa di Active Directory per rilevare appartenenze non autorizzate a gruppi, modifiche ai privilegi o backdoor di persistenza (come l’abuso di Golden Ticket o SIDHistory). Strumenti come Netwrix Auditor possono aiutare a identificare relazioni di privilegio insolite e configurazioni errate.
• Condurre un'indagine forense utilizzando la forensics degli endpoint e i log di Active Directory per identificare la causa principale e l'ambito della compromissione. Concentrarsi sulle prove di accesso alla memoria LSASS, accessi non autorizzati e strumenti di dumping delle credenziali.
• Rafforzare il monitoraggio a lungo termine post-incidente con regole di correlazione ITDR e SIEM ottimizzate per l'accesso a LSASS e schemi di autenticazione anomali.

Impatto specifico per settore

Gli attacchi Skeleton Key possono avere conseguenze gravi e varie in diversi settori, a seconda della sensibilità dei loro dati. Qualunque sia il settore, l'attacco concede agli aggressori un accesso illimitato ai sistemi critici, consentendo furti di dati su larga scala e interruzioni operative.

Evoluzione degli attacchi e tendenze future

Gli attori delle minacce stanno integrando sempre più spesso la tecnica Skeleton Key in campagne di attacco più ampie e a più fasi per mantenere la persistenza, aumentare i privilegi e prendere il controllo del dominio. Nuovi strumenti automatizzati e tecniche di evasione basate sull'intelligenza artificiale rendono questi attacchi più rapidi da eseguire, più difficili da individuare e più facili da diffondere. Ecco alcune tendenze recenti:

Statistiche chiave e infografiche

Diamo un’occhiata ad alcuni fatti e immagini che catturano la portata e l’impatto degli attacchi Skeleton Key.

• Nei primi casi di Skeleton Key (intorno al 2013-2015), i ricercatori hanno osservato l'uso di Skeleton Key in combinazione con Backdoor.Winnti, il che suggerisce che facesse parte di un uso più ampio di strumenti di intrusione e backdoor.
• Un HYPR/Vanson Bourne report del 2022 ha rilevato che le istituzioni finanziarie hanno subito in media perdite annuali di 2,19 milioni di dollari a causa di violazioni legate a debolezze nell'autenticazione.
• Secondo il IBM's 2024 Cost of a Data Breach Report, le violazioni derivanti da credenziali rubate o compromesse hanno richiesto più tempo per essere identificate e contenute, con una durata media di 292 giorni. Questo permette agli aggressori quasi 10 mesi di accesso illimitato prima della scoperta.
• Gli esperti concordano fortemente sul fatto che i costi di recupero per la compromissione del domain controller siano significativamente più alti rispetto alle violazioni standard a causa della necessità di una completa ricostruzione di Active Directory.

Considerazioni finali

Come le chiavi passepartout di una volta che potevano aprire qualsiasi porta in un edificio, l'attacco Skeleton Key concede agli attori minacciosi un accesso illimitato all'intero dominio. Una volta inserita nel tuo Active Directory, questa chiave digitale principale apre ogni account, bypassa ogni password e concede un ingresso illimitato, silenziosamente e invisibilmente.

La differenza? Nel mondo fisico, noteresti se qualcuno stesse scassinando le tue serrature. Ma nella tua rete, una Skeleton Key può rimanere nascosta per mesi, girando silenziosamente mentre il tuo team di sicurezza controlla la porta principale. La buona notizia è che questo attacco lascia tracce. Con un monitoraggio adeguato, patching e controlli di accesso privilegiato, puoi rilevare l'attacco e chiudere la porta prima che si verifichino danni reali.

La sicurezza del tuo dominio è forte solo quanto il punto di autenticazione più debole. Assicurati che una Skeleton Key non possa aprirlo.