# T1556.001 - Domain Controller Authentication > [!info] Identificação MITRE ATT&CK > **Tática:** Credential Access · **ID:** T1556.001 · **Plataforma:** Windows · **Técnica pai:** [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] ## Descrição T1556.001 - Domain Controller Authentication descreve uma técnica de backdoor avançada em que adversários modificam o processo de autenticação diretamente no Domain Controller (DC) para permitir acesso irrestrito a qualquer conta de usuário do domínio. A implementação mais documentada dessa técnica é conhecida como **Skeleton Key** - um malware que injeta código no processo LSASS (Local Security Authority Subsystem Service) do Domain Controller, criando uma "chave mestra" que autentica qualquer usuário independentemente da senha correta. O LSASS é o processo central de autenticação no Windows. No contexto de um Domain Controller, o LSASS gerencia toda autenticação Kerberos e NTLM para o domínio - incluindo válidação de tickets, autenticação de usuários e aplicação de políticas de acesso. Ao injetar código nesse processo, o adversário não precisa conhecer a senha individual de cada usuário; em vez disso, uma senha "esqueleto" universal funciona para qualquer conta do domínio, enquanto as senhas legítimas continuam funcionando normalmente. Essa dualidade - onde tanto a senha real quanto a senha backdoor funcionam - é o que torna o Skeleton Key particularmente insidioso: usuários não percebem qualquer anomalia, e o acesso do adversário não é visível em logs de falha de autenticação, apenas em autenticações bem-sucedidas que podem parecer legítimas. O grupo [[g0114-chimera|Chimera]], um APT de nexo com China focado em espionagem industrial e telecomúnicações, é documentado pelo uso de Skeleton Key em campanhas contra organizações na Ásia e potencialmente Europa. O malware requer que o adversário já tenha privilégios de Domain Admin antes da implantação - tornando-o uma ferramenta de **manutenção de acesso** e **credential access** após comprometimento inicial, não um vetor de entrada. > [!danger] Impacto Máximo > Skeleton Key em um Domain Controller representa o comprometimento total do domínio Active Directory. Com acesso autenticado como qualquer usuário, o adversário pode escalar para todos os sistemas, exfiltrar qualquer dado e manter persistência práticamente imperceptível até que o DC sejá reinicializado. ### Limitação: Persistência em Memória Uma característica importante do Skeleton Key é que o patch do LSASS existe **apenas em memória**. A reinicialização do Domain Controller remove o backdoor. Para contornar isso, adversários precisam reimplantar o malware após cada reboot, o que pode ser feito através de outros mecanismos de persistência instalados em paralelo (tarefas agendadas, serviços maliciosos, etc.). ## Como Funciona **Requisito: Acesso com Privilégios de Domain Admin** O adversário deve primeiro ter comprometido uma conta com privilégios de Domain Admin ou equivalente. Sem isso, a injeção no LSASS do DC não é possível. **Fase 1 - Implantação** O adversário executa o [[s0007-skeleton-key|Skeleton Key]] malware no Domain Controller alvo. O malware usa técnicas de injeção de processo para inserir uma DLL maliciosa diretamente no espaço de memória do processo `lsass.exe`. Ferramentas como [[mimikatz|Mimikatz]] incluem funcionalidade equivalente via `misc::skeleton`. **Fase 2 - Patch do Processo de Autenticação** A DLL injetada modifica as rotinas de autenticação do LSASS em memória. Específicamente, o patch adiciona uma condição lógica às funções de verificação de senha: se a senha fornecida corresponde à senha backdoor hardcoded (originalmente `Passw0rd!` no Skeleton Key original), a autenticação é aprovada independentemente da senha real do usuário. **Fase 3 - Dupla Autenticação** A partir desse ponto, para qualquer conta do domínio: - A senha real da conta **continua funcionando** (usuários legítimos não percebem mudança) - A senha backdoor **também funciona** (adversário pode autenticar como qualquer usuário) **Fase 4 - Acesso Universal** O adversário pode agora autenticar como qualquer usuário do domínio - incluindo Administrator, Domain Admins, e contas de serviço privilegiadas - usando a senha backdoor. Isso permite movimentação lateral irrestrita, acesso a todos os sistemas do domínio e exfiltração de dados sem disparar alertas de autenticação falha. **Limitação de Kerberos AES**: O Skeleton Key original opera principalmente contra autenticações NTLM. Autenticações Kerberos com criptografia AES256 (etype 18) não são afetadas pelo patch original, pois o algoritmo de criptografia diferente impede que a senha backdoor funcione. Versões mais avançadas do malware, no entanto, foram documentadas abordando essa limitação. ## Attack Flow ```mermaid graph TB A["🔑 Comprometimento Inicial<br/>Spear-phishing / Exploit"] --> B["🔺 Escalação para<br/>Domain Admin"] B --> C["🎯 Identificação de<br/>Domain Controllers ativos"] C --> D["💉 Injeção de DLL maliciosa<br/>no processo LSASS do DC"] D --> E{"Injeção<br/>bem-sucedida?"} E -->|Sim| F["🗝️ Skeleton Key ativo<br/>Senha backdoor funcional"] E -->|Não - PPL / Credential Guard| G["⚠️ Proteções bloquearam injeção<br/>Tentar outro DC ou método"] F --> H["👤 Autenticação Universal<br/>Qualquer usuário com senha backdoor"] H --> I["🔒 Bypass de Autenticação<br/>Sem alertas de senha incorreta"] I --> J["🌐 Movimentação Lateral<br/>para qualquer sistema do domínio"] J --> K["📊 Acesso a Dados Sensíveis<br/>Email / Shares / Bases de Dados"] K --> L["🕵️ Espionagem Persistente<br/>Coleta contínua de inteligência"] L --> M{"DC<br/>reiniciado?"} M -->|Sim| N["🔄 Reimplantar Skeleton Key<br/>via mecanismo de persistência"] M -->|Não| O["⚡ Backdoor permanece ativo<br/>em memória"] N --> F ``` ## Exemplos de Uso ### Chimera - Espionagem em Telecomúnicações O [[g0114-chimera|Chimera]] é um grupo de ameaça avançada de nexo com China documentado pela CyCraft Technology e Cybereason, focado em espionagem industrial contra empresas de telecomúnicações e tecnologia na Ásia. O grupo utilizou Skeleton Key como parte de uma cadeia de ataque sofisticada: 1. **Acesso inicial** via exploração de vulnerabilidades em VPNs e serviços expostos (principalmente Citrix e VPN appliances) 2. **Escalação** usando combinação de [[t1110-brute-force|força bruta]], [[t1558-003-kerberoasting|Kerberoasting]] e exploração de misconfigurations 3. **Implantação do Skeleton Key** em Domain Controllers para garantir acesso persistente sem dependência de uma conta específica 4. **Exfiltração** de propriedade intelectual, dados de clientes e informações operacionais de telecomúnicações Em um caso documentado, o Chimera manteve acesso via Skeleton Key por mais de 6 meses antes de detecção - coletando dados de clientes de telecomúnicações que incluíam conteúdo de chamadas e metadados de localização. ### Mimikatz - Implementação mais Conhecida O [[mimikatz|Mimikatz]], ferramenta de segurança ofensiva criada por Benjamin Delpy, inclui funcionalidade de Skeleton Key via módulo `misc::skeleton`. Este módulo é amplamente documentado em pentest e red team, e é frequentemente detectado por EDRs modernos. A versão "original" do Skeleton Key malware é atribuída a adversários chineses e foi analisada pela Dell SecureWorks em 2015. ### Detecção em Campo Incidentes documentados revelam que organizações frequentemente descobrem Skeleton Key apenas durante: - Investigações forenses pós-incidente - Exercícios de red team que identificam a anomalia - Detecção por EDR com proteção de memória de processos protegidos - Reinicialização do DC que elimina o backdoor e causa falha de acesso do adversário ## Detecção ### Indicadores de Comprometimento - Injeção de DLL no processo `lsass.exe` do Domain Controller - Criação de processos filhos incomuns a partir do `lsass.exe` - Autenticações bem-sucedidas usando senhas conhecidamente incorretas (honeypot credential monitoring) - Presença do [[mimikatz|Mimikatz]] ou ferramentas similares no Domain Controller - Carregamento de DLLs não assinadas ou com assinatura inválida no LSASS - Acesso a credenciais LSASS via `SeDebugPrivilege` em processo não autorizado ### Regra de Detecção - Sigma ```yaml title: Skeleton Key - Injeção no LSASS do Domain Controller status: experimental description: > Detecta tentativas de injeção de código no processo LSASS de Domain Controllers, padrão associado ao malware Skeleton Key e funcionalidade misc::skeleton do Mimikatz logsource: category: process_access product: windows detection: selection_lsass_injection: TargetImage|endswith: '\lsass.exe' GrantedAccess|contains: - '0x1F1FFF' - '0x1010' - '0x143A' CallTrace|contains: - 'UNKNOWN' selection_domain_controller: ComputerName|contains: - 'DC' - 'ADDC' filter_legitimate: SourceImage|startswith: - 'C:\Windows\System32\' - 'C:\Program Files\Windows Defender\' condition: selection_lsass_injection and selection_domain_controller and not filter_legitimate level: critical tags: - attack.credential_access - attack.defense_evasion - attack.t1556.001 falsepositives: - Software legítimo de segurança endpoint (AV, EDR) - Ferramentas de diagnóstico de Microsoft ``` ### Eventos Windows a Monitorar | EventID | Fonte | Descrição | Indicador | |---|---|---|---| | 4624 | Security | Logon bem-sucedido | Múltiplos logins de contas diferentes com mesma origem | | 4688 | Security | Process creation | Processos incomuns com SeDebugPrivilege | | 10 | Sysmon | ProcessAccess | Acesso ao LSASS com GrantedAccess elevado | | 7 | Sysmon | ImageLoad | DLLs não assinadas carregadas no LSASS | | 4611 | Security | Trusted logon process | Novo processo confiável registrado | > [!tip] Detecção via Credential Canary > Crie uma conta de domínio "honeypot" com senha conhecida e monitore qualquer autenticação bem-sucedida usando uma senha diferente. Se o Skeleton Key estiver ativo, a senha backdoor permitirá login nessa conta - disparando um alerta imediato sem depender de detecção comportamental. ## Mitigação | ID | Mitigação | Descrição Detalhada | |---|---|---| | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Proteger rigidamente as contas com acesso a Domain Controllers. Implementar **Privileged Access Workstations (PAW)** para administração de DCs. Usar **Just-In-Time (JIT) access** para privilégios de Domain Admin. Monitorar e alertar em cada uso de contas Domain Admin | | [[m1025-privileged-process-integrity\|M1025]] | Privileged Process Integrity | Habilitar **Windows Credential Guard** para proteger o LSASS com virtualização (VSM - Virtual Secure Mode). Habilitar **LSA Protection** (RunAsPPL) que impede que processos não-PPL injetem código no LSASS - a proteção mais eficaz contra Skeleton Key. Configurar via `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1` | | [[m1032-multi-factor-authentication\|M1032]] | Multi-Factor Authentication | MFA não impede o Skeleton Key em si, mas reduz a superfície de ataque que leva ao comprometimento inicial que permite ao adversário implantar o backdoor. Implementar MFA resistente a phishing (FIDO2) para todas as contas com acesso a DCs | | [[m1017-user-training\|M1017]] | User Training | Treinar administradores de sistema para reconhecer comportamentos anômalos de autenticação, incluindo logins bem-sucedidos em horários incomuns, de locais inesperados ou para contas que deveriam estar inativas | ### Recomendações Adicionais - **LSA Protection (RunAsPPL)**: Configuração mais crítica - protege o LSASS de injeção de processos não privilegiados - **Credential Guard**: Usa Hyper-V para isolar credenciais do LSASS em ambiente virtualizado protegido - **Microsoft Defender Credential Guard**: Versão integrada ao Windows 11 e Windows Server 2022+ - **Tiered Administration Model**: Implementar Tier 0/1/2 para garantir que credenciais de administração de DC nunca sejam expostas em sistemas de menor segurança - **Auditoria de LSASS**: Habilitar `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe\AuditLevel = 8` ## Contexto Brasil/LATAM T1556.001 (Skeleton Key) representa um dos vetores de persistência mais sofisticados conhecidos, com relevância direta para organizações brasileiras que operam infraestruturas Active Directory corporativas de grande porte. **Foco do Chimera em Telecomúnicações**: O [[g0114-chimera|Chimera]] demonstrou interesse específico no setor de telecomúnicações, que no Brasil inclui grandes operadoras como Claro, Vivo, TIM e Oi. Embora não hajá casos públicos confirmados de Chimera contra alvos brasileiros, o perfil setorial e a métodologia do grupo são aplicáveis ao mercado nacional. Dados de clientes de telecomúnicações brasileiros têm alto valor de inteligência. **Active Directory em Empresas Brasileiras**: A grande maioria das organizações brasileiras de médio e grande porte usa Active Directory como infraestrutura de identidade primária. Domain Controllers são pontos únicos de falha críticos: comprometê-los com Skeleton Key equivale ao comprometimento total da organização. **Déficit de Proteções Básicas**: Levantamentos de segurança em organizações brasileiras frequentemente identificam Domain Controllers sem LSA Protection habilitado, sem Credential Guard e sem monitoramento adequado do processo LSASS. Essa combinação cria uma jánela de vulnerabilidade ampla para técnicas como Skeleton Key. **Ransomware como Precursor**: Grupos de ransomware que operam no Brasil - incluindo afiliados do [[lockbit|LockBit]], [[blackcat|ALPHV]] e operadores de Cl0p - frequentemente comprometem Domain Controllers antes de implantar ransomware. A implantação de Skeleton Key pré-ransomware garante que, mesmo após o pagamento do resgate e "restauração" do ambiente, o adversário mantém acesso. **Regulação de Resiliência**: O Banco Central do Brasil e a Autoridade Nacional de Proteção de Dados (ANPD) possuem requisitos de notificação de incidentes que incluem comprometimento de infraestrutura crítica. Organizações financeiras reguladas devem ter controles técnicos que detectariam modificações no processo de autenticação do DC - incluindo proteção LSASS e monitoramento via SIEM. > [!warning] Cenário de Risco para o Brasil > Um ataque típico contra uma empresa brasileira de médio porte: acesso inicial via phishing → comprometimento de endpoint de usuário comum → escalação via Kerberoasting para Domain Admin → implantação de Skeleton Key no DC → exfiltração de dados de clientes por semanas → implantação final de ransomware maximizando pressão por resgate (double extortion). A presença do Skeleton Key significa que, mesmo com a descriptação dos dados, o adversário mantém acesso que pode ser revendido ou reativado. ## Referências - [MITRE ATT&CK - T1556.001 Domain Controller Authentication](https://attack.mitre.org/techniques/T1556/001) - [Dell SecureWorks - Skeleton Key Malware Analysis (2015)](https://www.secureworks.com/research/skeleton-key-malware-analysis) - [CyCraft - Operation Skeleton Key (Chimera)](https://cycraft.com/blog/chimera-targets-semiconductor-industry) - [Cybereason - Operation GhostShell (Chimera)](https://www.cybereason.com/blog/operation-ghostshell-novel-rat-targets-global-aerospace-and-telecom-firms) - [Microsoft - Protecting Against Credential Theft](https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection) - [CERT.br - Estatísticas de Incidentes 2024](https://www.cert.br/stats/) - [[g0114-chimera|Chimera - APT]] - [[s0007-skeleton-key|Skeleton Key - Malware]] - [[mimikatz|Mimikatz - Ferramenta Ofensiva]] - [[m1025-privileged-process-integrity|M1025 - Privileged Process Integrity]] - [[t1558-003-kerberoasting|T1558.003 - Kerberoasting]] --- *Fonte: [MITRE ATT&CK - T1556.001](https://attack.mitre.org/techniques/T1556/001) · Versão MITRE: 16.2 · Atualizado: 2026-03-25*