Mimikatz definice
Mimikatz je přední post-využití nástroj, který vypíše hesla z paměti, stejně jako hash, Kolíky a Kerberos lístky. Dalšími užitečnými útoky, které umožňuje, jsou pass-the-hash, pass-the-ticket nebo budování vstupenek Golden Kerberos. To usnadňuje útočníkům boční pohyb po vykořisťování v síti.
Mimikatz, popsaný autorem jako „malý nástroj pro hraní se zabezpečením Windows“, je neuvěřitelně účinný útočný bezpečnostní nástroj vyvinutý Benjaminem Delpym. Používá se penetračními testery i autory malwaru. Destruktivní 2017 NotPetya malware válcované unikly NSA využije jako EternalBlue spolu s Mimikatz k dosažení maximálního poškození.
Původně koncipován jako výzkumný projekt Delpy, aby lépe pochopit, zabezpečení systému Windows, Mimikatz také obsahuje modul, který vypíše hledání Min z paměti a řekne vám, kde jsou všechny doly jsou umístěny.
Mimikatz není obtížné používat, a Mimikatz v1 je dodáván jako meterpreter skript jako součást Metasploit. Nový upgrade Mimikatz v2 dosud nebyl integrován do Metasploit od tohoto psaní.
název „mimikatz“ pochází z francouzského slangu „mimi“, což znamená roztomilé, tedy „roztomilé kočky.“(Delpy je Francouz a ve svém rodném jazyce bloguje o Mimikatzovi.)
jak přípravek Mimikatz působí?
Mimikatz využívá funkce Windows single sign-on (SSO) ke sběru pověření. Až do systému Windows 10 Systém Windows ve výchozím nastavení používal funkci nazvanou WDigest, která načítá šifrovaná hesla do paměti, ale také načte tajný klíč k jejich dešifrování. WDigest byla užitečná funkce pro ověřování velkém počtu uživatelů na podnik nebo vládní sítě, ale také umožňuje Mimikatz využívat tuto funkci tím, že dumpingu paměti a získávání hesel.
v roce 2013 společnost Microsoft umožnila zakázat tuto funkci od systému Windows 8.1 a ve výchozím nastavení je v systému Windows 10 zakázána. Windows se však stále dodává s Wdigestem a útočník, který získá oprávnění správce, jej může jednoduše zapnout a spustit Mimikatz.
horší je, že tolik starších strojů po celém světě provozuje starší verze systému Windows, že Mimikatz je stále neuvěřitelně silný a pravděpodobně tak zůstane po mnoho dalších let.
Historie Mimikatz
Delpy objevil WDigest chybu v systému Windows autentizace v roce 2011, ale Microsoft ho odbyla, když se hlásil chybu. V reakci na to vytvořil Mimikatz — psaný v C — a mrsknul binární na internet, kde se rychle získal popularitu mezi bezpečnostní výzkumníci, nemluvě o nežádoucí pozornost ze strany vlád po celém světě, což má za následek případné uvolnění zdrojového kódu na GitHub.
Mimikatz byl téměř okamžitě používá národa-státu útočníci, první známý případ je z roku 2011 hack DigiNotar, nyní-zaniklý holandské certifikační autority, která zkrachovala v důsledku vniknutí. Útočníci vydávali falešné certifikáty pro Google a používali je ke špionáži na účtech Gmailu několika set tisíc íránských uživatelů.
bezpečnostní nástroj byl od té doby používán autory malwaru k automatizaci šíření jejich červů, včetně výše uvedeného útoku NotPetya a vypuknutí BadRabbit ransomware 2017. Mimikatz pravděpodobně zůstane účinným útočným bezpečnostním nástrojem na platformách Windows po mnoho dalších let.
jak se bránit proti Mimikatz
obrana proti použití Mimikatz po vykořisťování útočníkem je náročná. Vzhledem k tomu, že útočník musí mít root přístup k oknu Windows, aby mohl používat Mimikatz, je již v některých ohledech konec hry. Obrana se proto stává otázkou omezení škod a omezení výsledného krveprolití.
snížení rizika útočníka s oprávněními správce v přístupu k pověření v paměti pomocí Mimikatz je však možné a stojí za to. Velkým odběrem je omezit oprávnění správce pouze na uživatele, kteří to skutečně potřebují.
upgrade na Windows 10 nebo 8.1, alespoň, je začátek a zmírní riziko útočníka pomocí Mimikatz proti vám, ale v mnoha případech to není možnost. Další osvědčenou strategií ke zmírnění rizika je zpevnění místního bezpečnostního úřadu (LSA), aby se zabránilo vstřikování kódu.
vypnutí oprávnění ladění (SeDebugPrivilege) může mít také omezenou účinnost, protože Mimikatz používá vestavěné nástroje pro ladění systému Windows k výpisu paměti. Zakázání wdigest ručně na starších, neopravených verzích systému Windows zpomalí útočníka na minutu nebo dvě-přesto stojí za to udělat.
bohužel běžnou praxí je opětovné použití jediného administrativního hesla v rámci podniku. Ujistěte se, že každé okno systému Windows má své vlastní jedinečné heslo správce. Konečně, v systému Windows 8.1 a vyšší běžící LSASS v chráněném režimu způsobí, že Mimikatz bude neúčinný.
detekce přítomnosti a použití Mimikatz v podnikové síti není ani všelékem, protože současná automatizovaná detekční řešení se chlubí vysokou úspěšností. Nejlepší obrana je pravděpodobně dobrý trestný čin: testovat své vlastní systémy s Mimikatz pravidelně a mají skutečnou aktivitu lidského monitoru ve vaší síti.