# Skeleton Key > [!high] Malware que injeta senha mestra no Active Directory - qualquer conta do dominio pode ser acessada sem inválidar credenciais legitimas > Documentado pela Dell SecureWorks em 2015, o Skeleton Key opera injetando código no processo lsass.exe do controlador de dominio para aceitar uma senha universal em paralelo a senha real de cada usuario. ## Visão Geral [[s0007-skeleton-key|Skeleton Key]] e um malware de modificacao de controlador de dominio que injeta credenciais falsas - uma "chave mestra" - funcionando como senha de backdoor para qualquer conta do Active Directory, sem inválidar as senhas legitimas dos usuarios. Esta técnica permite que o atacante autentique-se como qualquer usuario do dominio comprometido usando a senha mestra implantada, enquanto os usuarios legitimos continuam funcionando normalmente - tornando o comprometimento virtualmente invisivel para os afetados. Documentado pela Dell SecureWorks em janeiro de 2015 e identificado principalmente em operações do [[g1023-apt5|APT5]] (grupo de espionagem cibernetica atribuido a China), o Skeleton Key representa um dos ataques mais criticos ao Active Directory já documentados. Sua eficacia deriva de uma realidade operacional fundamental: organizacoes raramente monitoram o processo `lsass.exe` para modificacoes em memoria, e o comportamento resultante (autenticação bem-sucedida com credenciais "incorretas") e dificil de distinguir de uso legitimo sem ferramentas especializadas. A funcionalidade equivalente ao Skeleton Key foi incorporada como módulo no [[mimikatz|Mimikatz]] (`misc::skeleton`), tornando esta técnica acessivel a um espectro muito mais amplo de atacantes. Qualquer operador com acesso privilegiado ao Mimikatz pode implantar um Skeleton Key em um controlador de dominio comprometido, transformando um comprometimento temporario em acesso permanente e furtivo a qualquer conta do dominio. A remoção requer reinicializacao do controlador de dominio (a modificacao existe apenas em memoria), criando uma jánela de oportunidade critica durante incidentes. **Plataformas:** Windows ## Como Funciona O Skeleton Key opera injetando código diretamente no processo `lsass.exe` do controlador de dominio - o componente do Windows responsavel pela autenticação NTLM e Kerberos. A injecao modifica a lógica de verificação de credenciais para aceitar tanto a senha original do usuario quanto a senha mestra configurada pelo atacante. Técnicamente, o Skeleton Key faz downgrade de autenticação Kerberos para NTLM em certas configuracoes e modifica as rotinas de verificação de hash NTLM para aceitar o hash da senha mestra como equivalente válido. A ferramenta e implantada via PsExec ou acesso remoto equivalente a partir de um host com privilegios de administrador de dominio - o que implica que o Skeleton Key e tipicamente um payload de segunda fase após comprometimento inicial e escalada de privilegios. ## Attack Flow Skeleton Key ```mermaid graph TB A["Comprometimento inicial<br/>Acesso privilegiado obtido<br/>Admin de dominio"] --> B["Acesso ao controlador<br/>PsExec ou RDP<br/>para o DC alvo"] B --> C["Injecao em lsass.exe<br/>T1055 Process Injection<br/>Skeleton Key implantado"] C --> D["Senha mestra ativa<br/>T1556.001 DC Auth bypass<br/>Qualquer usuario acessivel"] D --> E["Movimento lateral furtivo<br/>Autentica como qualquer conta<br/>Invisivel para usuarios"] E --> F["Persistência de longo prazo<br/>Acesso mantido após rotacao<br/>de senhas legitimas"] classDef initial fill:#dc2626,color:#fff classDef access fill:#ea580c,color:#fff classDef inject fill:#ca8a04,color:#000 classDef backdoor fill:#7c3aed,color:#fff classDef lateral fill:#3b82f6,color:#fff classDef persist fill:#16a34a,color:#fff class A initial class B access class C inject class D backdoor class E lateral class F persist ``` ## Linha do Tempo ```timeline 2013-2014 : Primeiras amostras em campo : APT5 usa em operacoes de espionagem Janeiro 2015 : Dell SecureWorks publica análise : Skeleton Key revelado publicamente 2015 : Mimikatz incorpora misc::skeleton : Técnica acessivel a todos os atacantes 2016-2017 : Multiplos incidentes documentados : Setores financeiro e governo afetados 2020-atual : Detectado em campanhas APT : Ainda eficaz em ambientes sem MDA/MDI ``` ## TTPs - [[t1556-001-domain-controller-authentication|T1556.001 - Domain Controller Authentication]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1098-account-manipulation|T1098 - Account Manipulation]] ## Grupos que Usam - [[g1023-apt5|APT5]] ## Relevância LATAM/Brasil O [[s0007-skeleton-key|Skeleton Key]] representa uma das ameaças mais criticas para ambientes de Active Directory - infraestrutura de autenticação presente na maioria das organizacoes de medio e grande porte no Brasil. A capacidade de autenticar-se como qualquer usuario sem deixar rastros óbvios torna esse malware especialmente perigoso em cenários de espionagem corporativa e governamental. No contexto brasileiro, onde muitas organizacoes ainda nao implantaram soluções de detecção especializadas para Active Directory como Microsoft Defender for Identity (MDI), a eficacia do Skeleton Key permanece alta. Setores como financeiro, governo, saúde e educação - com grandes ambientes Windows e Active Directory centralizados - sao especialmente vulneraveis. A implementacao do MDI deve ser considerada prioritaria para organizacoes brasileiras com dados sensiveis, pois e a ferramenta mais eficaz para detectar esta técnica. ## Detecção - Monitorar o processo `lsass.exe` para injecao de código - carregamento de DLLs nao assinadas ou modificacao de memoria de processo (Microsoft Defender for Identity detecta automaticamente) - Implementar alertas para autenticação bem-sucedida com credenciais que nao correspondem ao hash armazenado no AD - Detectar tentativas de acesso ao `lsass.exe` por processos nao reconhecidos via auditoria de acesso a processos - Habilitar auditoria de logon no Active Directory e correlacionar autenticacoes simultaneas em múltiplos sistemas com a mesma conta - Microsoft Defender for Identity (MDI, antes Azure ATP) detecta específicamente a técnica de Domain Controller Authentication bypass - **Mitigação preventiva:** Protected Users security group e Credential Guard no Windows 10+ bloqueiam o ataque mesmo sem MDI ## Referências - [1](https://attack.mitre.org/software/S0007) MITRE ATT&CK - S0007 Skeleton Key (2024) - [2](https://www.secureworks.com/research/skeleton-key-malware-analysis) SecureWorks - Skeleton Key Malware Analysis (2015) - [3](https://adsecurity.org/?p=1275) ADSecurity - Skeleton Key Malware: Active Directory Domain Backdoor (2015) - [4](https://attack.mitre.org/groups/G0026) MITRE ATT&CK - G0026 APT5 (2024) - [5](https://learn.microsoft.com/en-us/defender-for-identity/domain-dominance-alerts) Microsoft - MDI Domain Dominance Alerts (2024)