Mimikat definition
Mimikat er en førende post-udnyttelse værktøj, dumper adgangskoder fra hukommelsen, samt hashes, PINs og Kerberos billetter. Andre nyttige angreb, det muliggør, er pass-the-hash, pass-the-ticket eller building Golden Kerberos-billetter. Dette gør lateral bevægelse efter udnyttelse inden for et netværk let for angribere.”et lille værktøj til at lege med vinduer sikkerhed,” er en utrolig effektiv offensiv sikkerhedsværktøj udviklet af Benjamin Delpy. Det bruges af penetration testere og ondsindede forfattere ens. Den destruktive 2017 NotPetya ondsindede program rullet lækket NSA udnytter ligesom EternalBlue sammen med Mimikat at opnå maksimal skade.oprindeligt udtænkt som et forskningsprojekt af Delpy for bedre at forstå vinduer sikkerhed, indeholder Mimikat også et modul, der dumper Minestryger fra hukommelsen og fortæller dig, hvor alle miner er placeret.
Mimikat er ikke svært at bruge, og Mimikat v1 leveres som et meterpreter-script som en del af Metasploit. Den nye V2-opgradering er endnu ikke blevet integreret i Metasploit.
navnet “mimikats” kommer fra den franske slang “mimi”, der betyder søde, således “søde katte.”Delpy er fransk, og han blogger på sit modersmål.)
hvordan virker det?
Vi udnytter funktionerne single sign-on (SSO) til at høste legitimationsoplysninger. Indtil vinduer 10 brugte vinduer som standard en funktion kaldet Vdigest, der indlæser krypterede adgangskoder i hukommelsen, men indlæser også den hemmelige nøgle for at dekryptere dem. Vi har været en nyttig funktion til at godkende et stort antal brugere på et virksomheds-eller regeringsnetværk, men lader os også udnytte denne funktion ved at dumpe hukommelse og udtrække adgangskoder.
i 2013 gjorde Microsoft det muligt at deaktivere denne funktion fra vinduer 8.1, og den er som standard deaktiveret i Vinduer 10. Vinduer sendes dog stadig med Vdigest, og en angriber, der får administrative privilegier, kan simpelthen tænde den og køre Mimikat.værre, så mange ældre maskiner rundt om i verden kører ældre versioner af vinduer, som Mimikat er stadig en utrolig kraftfuld også og vil sandsynligvis forblive så i mange år fremover.
Delpy opdagede den største fejl ved godkendelse af vinduer i 2011, men Microsoft børstede ham af, da han rapporterede sårbarheden. Som svar skabte han Mimikat — skrevet i C — og lobede binæret på internettet, hvor det hurtigt blev populært blandt sikkerhedsforskere, for ikke at nævne uønsket opmærksomhed fra regeringer over hele verden, hvilket resulterede i en eventuel frigivelse af kildekoden på GitHub.den første kendte sag var 2011 hack af DigiNotar, den nu nedlagte hollandske certifikatmyndighed, som gik konkurs som følge af indtrængen. Angriberne udstedte falske certs til Google og brugte dem til at spionere på Gmail-konti for flere hundrede tusinde Iranske brugere.sikkerhedsværktøjet er siden blevet brugt af ondsindede forfattere til at automatisere spredningen af deres orme, herunder det førnævnte NotPetya-angreb og udbruddet af badrabbit-løsepenge i 2017. Det vil sandsynligvis forblive en effektiv offensiv sikkerhedsværktøj på vinduer platforme i mange år fremover.
hvordan man forsvarer sig mod Mimikat
det er udfordrende at forsvare sig mod en angribers brug af Mimikat efter udnyttelse. Da en angriber skal have root-adgang på en Vinduer boks til at bruge
opgradering til Vinduer 10 eller 8.1, i det mindste, er en start og vil mindske risikoen for, at en angriber bruger Mimikat mod dig, men i mange tilfælde er dette ikke en mulighed. Hærdning af den lokale sikkerhedsmyndighed (LSA) for at forhindre kodeinjektion er en anden dokumenteret strategi for at mindske risikoen.deaktivering af fejlretningsrettigheder (SeDebugPrivilege) kan også være af begrænset effektivitet, da Mimikat bruger indbyggede fejlsøgningsværktøjer til at dumpe hukommelse. Deaktivering af Vdigest manuelt på ældre, upatchede versioner af vinduer vil bremse en angriber for, åh, et minut eller to — stadig værd at gøre, selvom.
en desværre almindelig praksis er genbrug af en enkelt administrativ adgangskode på tværs af en virksomhed. Sørg for, at hver Vinduer boks har sin egen unikke admin adgangskode. Endelig på Vinduer 8.1 og højere kører LSASS i Beskyttet tilstand vil gøre Mimikats ineffektiv.det er heller ikke et universalmiddel, da de nuværende automatiserede detektionsløsninger ikke har en høj succesrate. Det bedste forsvar er sandsynligvis en god lovovertrædelse: Test dine egne systemer regelmæssigt og få en faktisk menneskelig overvågningsaktivitet på dit netværk.