det0271-detect-domain-controller-authentication-process-modification-skeleton-ke

# DET0271 — Detect Domain Controller Authentication Process Modification (Skeleton Key) ## Descrição Esta estratégia detecta o ataque Skeleton Key, onde adversários injetam código no processo `lsass.exe` do Domain Controller para criar uma senha-mestra que autentica qualquer usuário do domínio sem alterar senhas existentes. O ataque, popularizado pelo Mimikatz (`misc::skeleton`), mantém o funcionamento normal da autenticação enquanto o adversário usa a senha-mestra para acesso irrestrito. O indicador primário é a modificação de código em memória do `lsass.exe` no Domain Controller — específicamente nas rotinas de verificação de credenciais (`LsaApLogonUserEx2`, `SpAcceptCredentials`). O ataque não persiste após reinicialização, mas é frequentemente combinado com outras técnicas de persistência. A ausência do ataque não pode ser garantida sem monitoramento de integridade de memória. A telemetria requer monitoramento de acesso de escrita à memória do `lsass.exe` no DC (Sysmon Event ID 10), alertas para autenticações bem-sucedidas com credenciais que deveriam falhar, e monitoramento de integridade de código de módulos de autenticação via ferramentas como Volatility ou EDR avançado. ## Indicadores de Detecção - Processo abrindo handle de `lsass.exe` no DC com acesso de escrita (`PROCESS_VM_WRITE`) - Módulo Kerberos (`kerberos.dll`) ou NTLM (`msv1_0.dll`) com checksums de código alterados vs. baseline - Autenticação bem-sucedida para conta desabilitada ou com senha incorreta conhecida - Event ID 4625 (falha de login) ausente mesmo com senha errada informada (indicador de skeleton key ativo) - Uso de ferramenta Mimikatz com módulo `misc::skeleton` detectado por EDR ou hash de processo - Anomalia em integridade de memória do `lsass.exe` reportada por solução de monitoramento de DCs ## Técnicas Relacionadas - [[T1556.001-domain-controller-authentication|T1556.001 — Domain Controller Authentication]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[T1003.001-lsass-memory|T1003.001 — LSASS Memory]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an0757-analytic-0757|AN0757 — Analytic 0757]] --- *Fonte: [MITRE ATT&CK — DET0271](https://attack.mitre.org/detectionstrategies/DET0271)*