Ataque Skeleton Key: como funciona e como detectá-lo

O que é o malware Skeleton Key?

O malware Skeleton Key é um backdoor furtivo em memória que altera o processo de autenticação do Active Directory, permitindo que um invasor se autentique usando uma única credencial “master” (senha). Ele não rouba nem substitui senhas de usuários; ele altera a lógica de autenticação em um controlador de domínio para aceitar a credencial master forjada com qualquer nome de usuário válido.

Para alterar o processo de autenticação, malware injeta código malicioso no LSASS (Local Security Authority Subsystem Service) em um controlador de domínio comprometido, que modifica ou intercepta a rotina de autenticação. Uma vez implantado, o LSASS aceitará a credencial mestre do atacante durante as solicitações de autenticação, permitindo efetivamente que o atacante faça login como qualquer usuário existente. Como essa verificação ocorre na memória do LSASS, a credencial mestre não precisa ser registrada no banco de dados do Active Directory (NTDS.dit). O Active Directory permanece inalterado e as credenciais normais continuam funcionando, tornando a implantação difícil de detectar.

Há uma ressalva aqui, no entanto. Se um site do Active Directory tiver vários controladores de domínio, o implante Skeleton Key deve estar presente em cada DC para garantir que a senha mestre do Skeleton Key seja aceita como a senha válida do usuário. Os clientes descobrem um controlador de domínio usando DCLocator, que efetivamente escolhe um controlador de domínio aleatoriamente. Portanto, se um cliente autenticar em um controlador de domínio que não tenha o Skeleton Key instalado, a senha mestre falhará.

O processo normal de autenticação e como o Skeleton Key o contorna

Skeleton Key não ignora a verificação da existência da conta; ele apenas ignora a etapa de validação da senha. Quando um usuário faz login:

• O DC verifica primeiro se o nome de usuário existe no Active Directory (esta etapa não é ignorada).
• Em seguida, o LSASS normalmente solicita ao AD (ou ao pacote de autenticação) que valide a senha fornecida contra os hashes armazenados ou chaves Kerberos. É aqui que o Skeleton Key intervém. Antes que a validação normal ocorra, o código malicioso procura a credencial mestre do atacante (senha especial ou token). Se ela for apresentada, o LSASS retorna sucesso e o login prossegue (mesmo que tal credencial não exista no Active Directory).

Em resumo, Skeleton Key permite que a senha mestre seja aceita como válida para qualquer conta existente. A conta em si deve ser um objeto de usuário AD legítimo.

Gravidade do ataque

O objetivo principal de um ataque Skeleton Key é manter acesso persistente, não detectado e quase total ao domínio de uma rede, com o invasor movendo-se lateralmente e fazendo uso indevido de privilégios sem precisar comprometer contas. Como a modificação está na memória, a detecção requer EDR e análise forense de memória, verificações de integridade do LSASS e monitoramento cuidadoso do AD e comportamental, em vez de apenas varreduras de arquivos ou logs de alteração de senha.

Como o malware Skeleton Key funciona?

Aqui está uma explicação do ciclo de vida do ataque Skeleton Key e o que cada etapa significa na prática.

Comprometimento inicial

O ataque começa quando um invasor obtém acesso privilegiado a um controlador de domínio ou a uma conta com permissões para instalar código em um controlador de domínio. Vetores comuns de uma violação inicial incluem spear-phishing, credenciais roubadas ou reutilizadas, exploração de uma vulnerabilidade não corrigida ou uso indevido de ferramentas de administração remota (RDP, VPNs, consoles de gerenciamento remoto).

Implantação de malware

Após obter acesso, o atacante normalmente faz upload do arquivo Skeleton Key DLL para um diretório de preparação em um jump host na rede da vítima. Em seguida, ele usa credenciais privilegiadas, como Domain Administrator, para copiar o binário Skeleton Key para o controlador de domínio e executá-lo para injetá-lo no processo LSASS. O LSASS gerencia a autenticação do Windows, então, ao injetar código que corrige ou conecta a rotina de autenticação na memória, o malware pode interceptar solicitações de autenticação na memória. Ele não modifica arquivos nem altera hashes de senha de usuários no Active Directory; em vez disso, altera o que o controlador de domínio aceita durante a autenticação. Como resultado, o controlador de domínio ainda reportará comportamento normal de autenticação para credenciais legítimas, enquanto também aceita a senha mestre backdoor.

Uma vez que o Skeleton Key é implantado com sucesso, os atacantes excluem o arquivo DLL do Skeleton Key dos controladores de domínio alvo e do diretório de preparação no host de salto.

Substituição de autenticação

Com seu código rodando dentro do LSASS, o malware intercepta tentativas de login e implementa uma passagem: se uma senha apresentada corresponder à “master” secreta do atacante, o controlador de domínio retorna uma autenticação bem-sucedida para qualquer nome de usuário fornecido. Dessa forma, o atacante pode se autenticar como qualquer conta de domínio (incluindo contas altamente privilegiadas). Como o ataque não modifica os hashes de senha armazenados no Active Directory, auditorias padrão de senha e inspeções de diretório não mostrarão nada errado, tornando essa substituição furtiva e perigosa.

Movimentação lateral

Armado com uma senha mestre, o atacante pode se passar por qualquer usuário e solicitar tickets Kerberos, acessar serviços e usar RDP em hosts. Essa capacidade acelera a escalada de privilégios e o movimento lateral pelo ambiente. Ações que normalmente exigiriam roubo ou comprometimento de credenciais demorados agora podem ser realizadas rapidamente, permitindo que o atacante alcance sistemas sensíveis antes que os defensores percebam a violação.

Persistência

Um ataque Skeleton Key permanece ativo até que o controlador de domínio ou o processo LSASS sejam reiniciados, pois uma reinicialização remove os hooks na memória. No entanto, isso não garante que o invasor não tenha mais pontos de apoio. Por exemplo, os invasores podem já ter criado contas AD falsas como plano B ou instalado outros mecanismos de persistência, como tarefas agendadas, serviços maliciosos ou backdoors baseados no registro que sobrevivem às reinicializações. Eles também podem re-comprometer o controlador de domínio e reimplantar malware.

Encobrindo rastros

Os atacantes focam em misturar suas atividades no tráfego normal para evitar a detecção. Eles usam ferramentas administrativas legítimas (Living off the Land) para evitar a introdução de novos artefatos, utilizam protocolos e contas normais, imitam padrões típicos de login, adulteram ou excluem logs e evitam comportamentos ruidosos (por exemplo, limitam atividades de alto volume ou incomuns).

Diagrama do fluxo de ataque

Aqui está um fluxo visual do ataque Skeleton Key e uma história de exemplo da perspectiva de uma organização que mostra a cadeia típica de eventos, desde uma violação inicial até a personificação do usuário, até que os invasores alcancem dados valiosos e os exfiltrarem.

Imagine a Acom Manufacturing, que depende do Active Directory para identidade e acesso. Um atacante mira em um administrador de helpdesk que reutilizou credenciais de um site comprometido. Usando essas credenciais, o atacante faz login em uma estação de trabalho de gerenciamento, eleva o acesso a um controlador de domínio e implanta o malware Skeleton Key. Com a senha mestre aceita pelo controlador de domínio, o atacante solicita tickets Kerberos, acessa servidores de arquivos, implanta ferramentas para coletar registros sensíveis de propriedade intelectual e financeiros, e exfiltra os dados sem alterar nenhum hash de senha do AD.

Exemplos de ataques Skeleton Key

O ataque Skeleton Key aparece em algumas análises técnicas e relatórios de inteligência sobre ameaças, mas divulgações públicas com nomes de vítimas são raras. Muitas organizações e fornecedores tratam essas intrusões como sensíveis e retêm detalhes. O incidente mais amplamente documentado é o ataque ao setor de semicondutores e ao governo de Taiwan.

Consequências dos ataques Skeleton Key

Como o malware Skeleton Key compromete o núcleo do sistema de autenticação de uma organização, seu impacto vai além de um único incidente, com consequências de longo alcance que afetam as operações, finanças e reputação da organização.

Alvos comuns de ataques Skeleton Key: Quem está em risco?

Os ataques Skeleton Key visam principalmente organizações que dependem do Active Directory para autenticação. Esses ataques são especialmente eficazes contra ambientes de TI grandes e complexos, onde detectar anomalias sutis de autenticação pode ser difícil. Aqui estão alguns dos tipos mais comuns de organizações em risco:

Avaliação de risco

Skeleton Key representa um risco significativo para as organizações porque compromete o Active Directory, que é a própria base da autenticação de rede.

Como prevenir ataques Skeleton Key

Para prevenir ataques Skeleton Key, as organizações precisam de uma combinação de controles de acesso rigorosos, monitoramento proativo e medidas de segurança para proteger os sistemas de autenticação.

• Aplique os patches mais recentes: Mantenha os controladores de domínio e os sistemas de autenticação atualizados com patches de segurança para evitar a exploração de vulnerabilidades conhecidas. A aplicação de patches reduz a superfície de ataque e fecha pontos de entrada que os invasores podem usar para obter o acesso inicial.
• Implemente o princípio do menor privilégio: Limite os direitos administrativos apenas àqueles que realmente precisam deles. Implemente controle de acesso baseado em função (RBAC), use Privileged Access Management just-in-time e aplique MFA a todas as contas administrativas. Os administradores devem usar contas separadas para trabalho rotineiro e tarefas administrativas, e realizar todas as operações privilegiadas a partir de estações de trabalho reforçadas e isoladas.
• Monitorar a atividade do LSASS: Observe continuamente comportamentos incomuns no LSASS, como tentativas de acesso à memória ou injeção de processos, que são indicativos de ataques Skeleton Key.
• Implemente proteção avançada de endpoint: Implemente uma solução de detecção e resposta de endpoint (EDR) que possa detectar ataques em memória, chamadas de sistema suspeitas e manipulação de credenciais que o antivírus pode não detectar.
• Aproveite a correlação SIEM: Use uma plataforma de security information and event management (SIEM) para correlacionar tentativas de autenticação suspeitas, especialmente múltiplas autenticações bem-sucedidas com IPs de origem incompatíveis ou logins fora do horário comercial.

Como a Netwrix pode ajudar

Netwrix oferece soluções que podem ajudar a defender contra ataques baseados em credenciais, incluindo Skeleton Key, por meio de detecção, controles de acesso e monitoramento.

Netwrix Threat Manager

O aplicativo Threat Manager capacita as organizações a se protegerem contra ataques Skeleton Key com as seguintes funcionalidades:

• Utiliza análises comportamentais e heurísticas para detectar ataques em memória (incluindo Skeleton Key e outras ferramentas de roubo de credenciais).
• Implanta detecção baseada em engano, como iscas e credenciais honeytoken, para atrair atacantes e gerar alertas quando são usadas.
• Correla eventos suspeitos e anomalias (como tentativas incomuns de login, padrões de movimento lateral, uso de credenciais honeytoken) para sinalizar possíveis ataques de credenciais ou de memória.

Netwrix Threat Prevention

O aplicativo Threat Prevention inclui funcionalidades especificamente projetadas para monitorar e proteger o processo LSASS (que é um alvo principal para Skeleton Key e outras ferramentas de roubo de credenciais).

• O recurso LSASS Guardian Monitor monitora solicitações de handle não autorizadas (leitura, gravação, criação de thread) que vêm de processos não autorizados direcionados ao LSASS, e gera alertas quando operações suspeitas de acesso à memória são observadas.
• Quando um processo não confiável tenta abrir um handle para o processo LSASS com permissões de leitura, escrita ou criação de threads, o recurso LSASS Guardian Protect do Threat Prevention interceptará essa solicitação e bloqueará ataques maliciosos em memória sem travar o processo.

Netwrix Identity Threat Detection & Response (ITDR)

O software Threat Manager e Threat Prevention faz parte da solução Netwrix ITDR. No geral, a plataforma ITDR oferece funcionalidades robustas que:

• Monitora o comportamento de identidade privilegiada (contas administrativas, contas de serviço) para anomalias em padrões de autenticação, horários incomuns de login, IPs de origem e tentativas de personificação.
• Sinaliza abuso de credenciais, personificação de credenciais e padrões suspeitos de uso de contas de maneira consistente com as táticas do Skeleton Key.
• Fornece trilhas completas de auditoria e históricos de sessões para apoiar a investigação de incidentes.

Netwrix Privileged Access Management (PAM)

A solução Privileged Access Management ajuda a minimizar o período em que atacantes podem explorar contas privilegiadas. Usando-a, as organizações podem:

• Implemente just-in-time (JIT) acesso, concedendo privilégios elevados apenas quando necessário e revogando-os logo em seguida.
• Aplique privilégio zero permanente, para que nenhuma conta de alto nível esteja em uso constante.
• Implemente o controle de acesso baseado em função (RBAC) para limitar o grau em que as contas podem se mover lateralmente ou escalar privilégios, bem como limitar o escopo e o potencial de movimento lateral de sessões com altos privilégios.

Estratégias de detecção, mitigação e resposta

Para se defender contra ataques Skeleton Key, as organizações devem detectar manipulações na memória nas fases iniciais, conter rapidamente qualquer comprometimento e eliminar a persistência.

Detecção

Skeleton Key opera inteiramente na memória e não gera tráfego de rede, por isso quase não deixa rastros em logs convencionais e evita a detecção convencional baseada em IDS/IPS de rede. Portanto, monitoramento e análise comportamental são essenciais para identificar atividades suspeitas que indicam comprometimento. As organizações devem considerar o seguinte:

• Realize a análise de memória em controladores de domínio para detectar injeção de código LSASS ou módulos não autorizados. Ferramentas como Volatility, Sysinternals RAMMap e telemetria EDR podem identificar DLLs anômalas ou threads injetadas. Especificamente, procure por módulos não assinados, módulos carregados de caminhos de arquivo inesperados (como diretórios temporários) ou hooks colocados em funções de autenticação. As organizações devem estabelecer uma linha de base do estado normal da memória LSASS, o que pode ajudá-las a identificar desvios que indicam possível comprometimento.
• Correlacione anomalias de autenticação, que podem identificar o uso da credencial mestre Skeleton Key. Monitore os logs de eventos de segurança e servidores de autenticação para padrões como logons bem-sucedidos onde senhas incorretas foram inseridas.
• Monitore solicitações de tickets Kerberos que desviam dos padrões normais. Por exemplo, solicitações de tickets de serviço sem solicitações correspondentes de Ticket-Granting Ticket (TGT) ou TGS-REQs repetidos de hosts inesperados.
• Inspecione os logs de eventos do Windows para acessos incomuns ao LSASS ou reinicializações inesperadas de serviços. Os principais IDs de eventos incluem 4624 e 4672 para sessões de logon privilegiadas, 4688 para criação suspeita de processos com interação do LSASS, e 7036 e 7034 para mudanças de estado do serviço ou terminações inesperadas. Qualquer processo não pertencente ao sistema que acesse a memória do LSASS é um sinal de alerta.
• Integre com ferramentas SIEM e ITDR (por exemplo, Netwrix Threat Manager e Threat Prevention) para correlacionar anomalias comportamentais, uso indevido de credenciais e indicadores de comprometimento em nível de memória. Configure regras de detecção que correlacionem múltiplos sinais fracos em alertas de alta confiança, como atividade de conta privilegiada de geolocalizações incomuns ou fora do horário comercial combinada com alertas de acesso à memória LSASS. Essa abordagem filtra falsos positivos enquanto detecta ataques que contornam mecanismos de detecção pontuais.
• SecureWorks CTU observou um sintoma operacional sutil de um ataque Skeleton Key. Pouco depois da implantação do malware, os controladores de domínio apresentam falhas inexplicáveis na replicação do Active Directory. São problemas que o suporte da Microsoft não conseguiu explicar ou resolver definitivamente até que os controladores de domínio fossem reiniciados. As organizações devem considerar tais anomalias de replicação como um possível sinal de alerta de uma comprometimento oculto.
• Pesquisadores do CTU também desenvolveram assinaturas YARA para ajudar a detectar o Skeleton Key DLL e o código específico que ele injeta na memória do processo LSASS. Usar essas assinaturas com ferramentas de detecção de endpoint e scanners forenses pode ajudar a identificar artefatos na memória de infecções por Skeleton Key. Este é um dos poucos métodos técnicos confiáveis para detecção.

Etapas de mitigação

A mitigação foca em reduzir a superfície de ataque, fortalecer os controles de autenticação e implantar defesas que impedem os atacantes de injetar código ou obter privilégios elevados. As organizações devem implementar os seguintes controles:

• Aplique os patches de segurança mais recentes a todos os controladores de domínio e sistemas de autenticação para eliminar vulnerabilidades conhecidas de escalonamento de privilégios. Dê preferência a atualizações que abordem execução remota de código, escalonamento de privilégios e vulnerabilidades relacionadas ao LSASS.
• Implemente MFA para todas as contas privilegiadas, incluindo Domain Admins, Enterprise Admins e contas de serviço com permissões elevadas. Também devem estender os requisitos de MFA para protocolos administrativos como RDP, PowerShell remoting e acesso ao console do controlador de domínio, bem como todas as soluções de acesso remoto, como VPNs e webmail. MFA não bloqueia totalmente um ataque Skeleton Key, mas pode reduzir o risco de acesso não autorizado e movimentação lateral pela rede.
• Restrinja os privilégios de Domain Admin e Enterprise Admin apenas ao pessoal essencial e aplique a elevação just-in-time (JIT) por meio de soluções PAM. Permita sessões com tempo limitado que revogam automaticamente as permissões elevadas após a conclusão da tarefa.
• Implante ferramentas de detecção de ataques em memória como Netwrix Threat Prevention (LSASS Guardian) ou agentes EDR para monitorar e bloquear o acesso não autorizado ao LSASS em tempo real.
• Fortaleça as configurações do Active Directory por meio das seguintes medidas:
  • Desative serviços desnecessários nos controladores de domínio (como Print Spooler, serviço Server se não forem necessários).
  • Implemente políticas de controle de serviço que evitem reinicializações ou modificações de serviço não autorizadas.
  • Desative contas que não são mais necessárias.
  • Audite e restrinja as configurações de delegação para evitar que atacantes abusem da delegação.
  • Ative a Configuração Avançada de Política de Auditoria para capturar eventos detalhados de autenticação e uso de privilégios.
• Segmentar estações de trabalho administrativas usando privileged access workstations (PAWs) para garantir que as sessões administrativas ocorram em ambientes isolados e controlados. Considere implementar a classificação de credenciais (nível 0 para controladores de domínio, nível 1 para servidores, nível 2 para estações de trabalho) para evitar que o roubo de credenciais de níveis inferiores afete sistemas com privilégios mais altos.

Resposta

Uma resposta rápida e bem planejada a incidentes é fundamental se você suspeitar de uma infecção por Skeleton Key. O objetivo é conter a violação, restaurar a integridade do mecanismo de autenticação e remover a persistência.

• Isole imediatamente o controlador de domínio afetado da rede para evitar movimentação lateral e uso indevido adicional de credenciais. Se houver suspeita de comprometimento de vários controladores de domínio, isole-os simultaneamente. Antes da isolação, capture um despejo de memória do processo LSASS para análise forense, pois essa evidência será perdida após a reinicialização ou desligamento.
• Remova o malware realizando uma reconstrução confiável do sistema ou restaurando a partir de backups limpos verificados. Após a remoção, verifique se o LSASS está operando normalmente, checando os módulos carregados, monitorando o comportamento de autenticação e confirmando que nenhum código não autorizado permanece na memória. Isso garante que a integridade do LSASS e do Active Directory seja restaurada.
• Gire todas as credenciais privilegiadas, incluindo as senhas de Domain Admin, serviço e KRBTGT, para invalidar quaisquer tokens roubados ou forjados.
• Realize uma auditoria completa do Active Directory para detectar associações de grupo não autorizadas, alterações de privilégios ou backdoors de persistência (como abuso de Golden Ticket ou SIDHistory). Ferramentas como Netwrix Auditor podem ajudar a identificar relacionamentos de privilégios incomuns e configurações incorretas.
• Conduza uma investigação forense usando forense de endpoint e logs do Active Directory para identificar a causa raiz e o escopo da violação. Concentre-se em evidências de acesso à memória LSASS, logons não autorizados e ferramentas de extração de credenciais.
• Reforce o monitoramento de longo prazo pós-incidente com regras de correlação ITDR e SIEM ajustadas para acesso LSASS e padrões anormais de autenticação.

Impacto específico do setor

Ataques Skeleton Key podem ter consequências graves e variadas em diversos setores, dependendo da sensibilidade dos seus dados. Independentemente do setor, o ataque concede aos invasores acesso irrestrito a sistemas críticos, permitindo roubo de dados em grande escala e operações interrompidas.

Evolução dos ataques e tendências futuras

Os agentes de ameaça estão integrando cada vez mais a técnica Skeleton Key em campanhas de ataque maiores e em múltiplas etapas para manter a persistência, escalar privilégios e assumir o controle do domínio. Novas ferramentas automatizadas e técnicas de evasão com inteligência artificial estão tornando esses ataques mais rápidos de implantar, mais difíceis de detectar e mais fáceis de se espalhar. Aqui estão algumas tendências recentes:

Estatísticas e infográficos principais

Vamos analisar alguns fatos e imagens que mostram a escala e o impacto dos ataques Skeleton Key.

• Em casos anteriores do Skeleton Key (por volta de 2013 a 2015), os pesquisadores observaram o uso do Skeleton Key em conjunto com o Backdoor.Winnti, o que sugere que fazia parte de um uso mais amplo de ferramentas de intrusão e backdoor.
• Um HYPR/Vanson Bourne report de 2022 constatou que instituições financeiras sofreram uma média de US$ 2,19 milhões em perdas anuais devido a violações relacionadas a fraquezas na autenticação.
• De acordo com o IBM's 2024 Cost of a Data Breach Report, as violações resultantes de credenciais roubadas ou comprometidas foram as que demoraram mais para serem identificadas e contidas, com uma duração média de 292 dias. Isso permite que os atacantes tenham quase 10 meses de acesso irrestrito antes da descoberta.
• Especialistas concordam fortemente que os custos de recuperação para comprometimento do controlador de domínio são significativamente maiores do que em violações padrão devido à necessidade de reconstrução completa do Active Directory.

Considerações finais

Como as chaves mestras antigas que podiam destrancar qualquer porta em um edifício, o ataque Skeleton Key dá aos agentes de ameaça acesso irrestrito a todo o seu domínio. Uma vez inserida no seu Active Directory, esta chave mestra digital abre todas as contas, ignora todas as senhas e concede entrada ilimitada, silenciosa e invisivelmente.

A diferença? No mundo físico, você perceberia se alguém estivesse arrombando suas fechaduras. Mas na sua rede, uma Skeleton Key pode ficar escondida por meses, girando silenciosamente enquanto sua equipe de segurança vigia a porta da frente. A boa notícia é que esse ataque deixa rastros. Com monitoramento adequado, aplicação de patches e controles de acesso privilegiado, você pode detectar o ataque e fechar a porta antes que ocorram danos reais.

A segurança do seu domínio é tão forte quanto o seu ponto de autenticação mais fraco. Certifique-se de que uma Skeleton Key não possa abri-lo.