Mimikatz Definition
Mimikatz ist ein führendes Post-Exploitation-Tool, das Passwörter aus dem Speicher sowie Hashes, PINs und Kerberos-Tickets speichert. Andere nützliche Angriffe, die es ermöglicht, sind Pass-the-Hash, Pass-the-Ticket oder das Erstellen von Goldenen Kerberos-Tickets. Dies erleichtert Angreifern die seitliche Bewegung innerhalb eines Netzwerks nach der Ausnutzung.
Mimikatz, vom Autor als „ein kleines Tool zum Spielen mit Windows-Sicherheit“ beschrieben, ist ein unglaublich effektives offensives Sicherheitstool, das von Benjamin Delpy entwickelt wurde. Es wird von Penetrationstestern und Malware-Autoren gleichermaßen verwendet. Die zerstörerische NotPetya-Malware aus dem Jahr 2017 hat NSA-Exploits wie EternalBlue zusammen mit Mimikatz durchgesickert, um maximalen Schaden zu verursachen.Ursprünglich als Forschungsprojekt von Delpy konzipiert, um die Windows-Sicherheit besser zu verstehen, enthält Mimikatz auch ein Modul, das Minesweeper aus dem Speicher speichert und Ihnen mitteilt, wo sich alle Minen befinden.
Mimikatz ist nicht schwer zu bedienen, und Mimikatz v1 kommt als meterpreter Skript als Teil von Metasploit gebündelt. Das neue Mimikatz v2 Upgrade wurde zum jetzigen Zeitpunkt noch nicht in Metasploit integriert.
Der Name „mimikatz“ kommt vom französischen Slang „mimi“ und bedeutet süß, also „süße Katzen“.“ (Delpy ist Franzose und bloggt auf Mimikatz in seiner Muttersprache.)
Wie wirkt Mimikatz?
Mimikatz nutzt die Windows Single Sign-On (SSO)-Funktionalität, um Anmeldeinformationen zu sammeln. Bis Windows 10 verwendete Windows standardmäßig eine Funktion namens WDigest, die verschlüsselte Kennwörter in den Speicher lädt, aber auch den geheimen Schlüssel lädt, um sie zu entschlüsseln. WDigest war eine nützliche Funktion zur Authentifizierung einer großen Anzahl von Benutzern in einem Unternehmens- oder Regierungsnetzwerk, lässt Mimikatz diese Funktion jedoch auch ausnutzen, indem es Speicher speichert und die Kennwörter extrahiert.
Im Jahr 2013 hat Microsoft es möglich gemacht, diese Funktion ab Windows 8.1 zu deaktivieren, und sie ist in Windows 10 standardmäßig deaktiviert. Windows wird jedoch weiterhin mit WDigest ausgeliefert, und ein Angreifer, der Administratorrechte erhält, kann es einfach einschalten und Mimikatz ausführen.Schlimmer noch, auf so vielen Legacy-Computern auf der ganzen Welt werden ältere Windows-Versionen ausgeführt, dass Mimikatz immer noch unglaublich leistungsfähig ist und dies wahrscheinlich noch viele Jahre bleiben wird.
Geschichte von Mimikatz
Delpy entdeckte 2011 den WDigest-Fehler in der Windows-Authentifizierung, aber Microsoft wischte ihn ab, als er die Sicherheitsanfälligkeit meldete. Als Reaktion darauf schuf er Mimikatz – geschrieben in C – und warf die Binärdatei ins Internet, wo sie unter Sicherheitsforschern schnell an Popularität gewann, ganz zu schweigen von unerwünschter Aufmerksamkeit von Regierungen auf der ganzen Welt, was schließlich zur Veröffentlichung des Quellcodes auf GitHub führte.
Mimikatz wurde fast sofort von nationalstaatlichen Angreifern verwendet, der erste bekannte Fall war der 2011-Hack von DigiNotar, der inzwischen aufgelösten niederländischen Zertifizierungsstelle, die infolge des Eindringens bankrott ging. Die Angreifer stellten gefälschte Zertifikate für Google aus und spionierten damit die Google Mail-Konten mehrerer hunderttausend iranischer Nutzer aus.Das Sicherheitstool wurde seitdem von Malware-Autoren verwendet, um die Verbreitung ihrer Würmer zu automatisieren, einschließlich des oben genannten NotPetya-Angriffs und des 2017 BadRabbit Ransomware-Ausbruchs. Mimikatz wird wahrscheinlich für viele Jahre ein effektives offensives Sicherheitstool auf Windows-Plattformen bleiben.
Wie man sich gegen Mimikatz verteidigt
Die Verteidigung gegen die Verwendung von Mimikatz nach der Ausbeutung durch einen Angreifer ist eine Herausforderung. Da ein Angreifer Root-Zugriff auf eine Windows-Box haben muss, um Mimikatz zu verwenden, ist das Spiel in gewisser Weise bereits vorbei. Verteidigung wird daher zu einer Frage der Eindämmung des Schadens und der Begrenzung des daraus resultierenden Gemetzels.
Das Risiko zu verringern, dass ein Angreifer mit Administratorrechten mit Mimikatz auf In-Memory-Anmeldeinformationen zugreift, ist jedoch möglich und die Mühe wert. Der große Vorteil besteht darin, die Administratorrechte nur auf Benutzer zu beschränken, die sie tatsächlich benötigen.
Upgrade auf Windows 10 oder 8.1 ist zumindest ein Anfang und mindert das Risiko, dass ein Angreifer Mimikatz gegen Sie einsetzt, aber in vielen Fällen ist dies keine Option. Eine weitere bewährte Strategie zur Risikominderung besteht darin, die lokale Sicherheitsbehörde (Local Security Authority, LSA) zu stärken, um Code-Injection zu verhindern.
Das Deaktivieren von Debug-Privilegien (SeDebugPrivilege) kann ebenfalls von begrenzter Wirksamkeit sein, da Mimikatz integrierte Windows-Debugging-Tools verwendet, um Speicher zu sichern. Das manuelle Deaktivieren von WDigest unter älteren, nicht gepatchten Windows-Versionen verlangsamt einen Angreifer für ein oder zwei Minuten – es lohnt sich jedoch immer noch.
Eine leider gängige Praxis ist die Wiederverwendung eines einzigen Administratorkennworts in einem Unternehmen. Stellen Sie sicher, dass jedes Windows-Feld über ein eigenes Administratorkennwort verfügt. Schließlich wird Mimikatz unter Windows 8.1 und höher, wenn LSASS im geschützten Modus ausgeführt wird, unwirksam.
Das Erkennen des Vorhandenseins und der Verwendung von Mimikatz in einem Unternehmensnetzwerk ist ebenfalls kein Allheilmittel, da aktuelle automatisierte Erkennungslösungen keine hohe Erfolgsquote aufweisen. Die beste Verteidigung ist wahrscheinlich eine gute Offensive: Testen Sie Ihre eigenen Systeme regelmäßig mit Mimikatz und lassen Sie eine tatsächliche menschliche Überwachungsaktivität in Ihrem Netzwerk durchführen.