Mimikatz definition
Mimikatz es una herramienta líder de posexplotación que elimina contraseñas de la memoria, así como hashes, pines y tickets Kerberos. Otros ataques útiles que habilita son pass-the-hash, pass-the-ticket o la creación de tickets Kerberos dorados. Esto hace que el movimiento lateral posterior a la explotación dentro de una red sea fácil para los atacantes.
Mimikatz, descrito por el autor como «una pequeña herramienta para jugar con la seguridad de Windows», es una herramienta de seguridad ofensiva increíblemente efectiva desarrollada por Benjamin Delpy. Es utilizado por probadores de penetración y autores de malware por igual. El destructivo malware NotPetya de 2017 lanzó exploits filtrados de la NSA como EternalBlue junto con Mimikatz para lograr el máximo daño.
Concebido originalmente como un proyecto de investigación de Delpy para comprender mejor la seguridad de Windows, Mimikatz también incluye un módulo que elimina el buscaminas de la memoria y le indica dónde se encuentran todas las minas.
Mimikatz no es difícil de usar, y Mimikatz v1 viene incluido como un script meterpreter como parte de Metasploit. La nueva actualización Mimikatz v2 aún no se ha integrado en Metasploit en el momento de escribir este artículo.
El nombre «mimikatz» proviene de la jerga francesa «mimi» que significa lindo, por lo tanto, «gatos lindos».»(Delpy es francés y bloguea en Mimikatz en su lengua materna.)
¿Cómo funciona Mimikatz?
Mimikatz aprovecha la funcionalidad de inicio de sesión único (SSO) de Windows para recopilar credenciales. Hasta Windows 10, Windows usaba de forma predeterminada una función llamada WDigest que cargaba contraseñas cifradas en la memoria, pero también cargaba la clave secreta para descifrarlas. WDigest ha sido una característica útil para autenticar un gran número de usuarios en una red empresarial o gubernamental, pero también permite que Mimikatz explote esta característica descargando memoria y extrayendo las contraseñas.
En 2013, Microsoft hizo posible deshabilitar esta función a partir de Windows 8.1, y está deshabilitada de forma predeterminada en Windows 10. Sin embargo, Windows aún se envía con WDigest, y un atacante que obtenga privilegios administrativos simplemente puede activarlo y ejecutar Mimikatz.
Peor aún, hay tantas máquinas heredadas en todo el mundo que ejecutan versiones anteriores de Windows que Mimikatz también es increíblemente potente y es probable que lo siga siendo durante muchos años.
Historia de Mimikatz
Delpy descubrió el defecto WDigest en la autenticación de Windows en 2011, pero Microsoft lo descartó cuando informó de la vulnerabilidad. En respuesta, creó Mimikatz, escrito en C, y lanzó el binario a Internet, donde rápidamente ganó popularidad entre los investigadores de seguridad, sin mencionar la atención no deseada de los gobiernos de todo el mundo, lo que resultó en la eventual liberación del código fuente en GitHub.
Mimikatz fue utilizado casi de inmediato por atacantes de Estados-nación, el primer caso conocido fue el hackeo de DigiNotar en 2011, la ahora desaparecida autoridad de certificación holandesa, que quebró como resultado de la intrusión. Los atacantes emitieron certificados falsos para Google y los usaron para espiar las cuentas de Gmail de varios cientos de miles de usuarios iraníes.
La herramienta de seguridad ha sido utilizada desde entonces por los autores de malware para automatizar la propagación de sus gusanos, incluido el ataque NotPetya mencionado anteriormente y el brote de ransomware BadRabbit de 2017. Mimikatz probablemente seguirá siendo una herramienta de seguridad ofensiva efectiva en las plataformas Windows durante muchos años.
Cómo defenderse contra Mimikatz
Defenderse contra el uso de Mimikatz por parte de un atacante después de la explotación es un desafío. Dado que un atacante debe tener acceso de root en una caja de Windows para usar Mimikatz, ya se acabó el juego de alguna manera. Por lo tanto, la defensa se convierte en una cuestión de contener el daño y limitar la carnicería resultante.
Reducir el riesgo de que un atacante con privilegios de administrador acceda a credenciales en memoria usando Mimikatz es posible y vale la pena, sin embargo. Lo importante para llevar es limitar los privilegios de administrador solo a los usuarios que realmente lo necesitan.
Actualización a Windows 10 u 8.1, al menos, es un comienzo y mitigará el riesgo de que un atacante use Mimikatz en su contra, pero en muchos casos esto no es una opción. Reforzar la Autoridad de Seguridad Local (LSA) para evitar la inyección de código es otra estrategia probada para mitigar el riesgo.
Desactivar los privilegios de depuración (SeDebugPrivilege) también puede tener una eficacia limitada, ya que Mimikatz utiliza herramientas de depuración integradas de Windows para volcar la memoria. Deshabilitar WDigest manualmente en versiones antiguas y sin parches de Windows ralentizará a un atacante durante, oh, un minuto o dos, aunque aún vale la pena hacerlo.
Desafortunadamente, una práctica común es la reutilización de una única contraseña administrativa en una empresa. Asegúrese de que cada cuadro de Windows tenga su propia contraseña de administrador única. Finalmente, en Windows 8.1 y versiones posteriores, ejecutar LSASS en modo protegido hará que Mimikatz sea ineficaz.
Detectar la presencia y el uso de Mimikatz en una red empresarial tampoco es una panacea, ya que las soluciones de detección automatizada actuales no cuentan con una alta tasa de éxito. La mejor defensa es probablemente una buena ofensiva: Pruebe sus propios sistemas con Mimikatz regularmente y tenga una actividad real de monitor humano en su red.