Mimikatz määritelmä
Mimikatz on johtava hyväksikäytön jälkeinen työkalu, joka tyhjentää salasanoja muistista, samoin kuin hasheja, pinssejä ja Kerberos-lippuja. Muita sen mahdollistamia hyödyllisiä hyökkäyksiä ovat pass-the-hash, pass-the-ticket tai Golden Kerberos-lippujen rakentaminen. Tämä tekee riiston jälkeisestä sivuttaisliikkeestä verkon sisällä hyökkääjille helppoa.
Mimikatz, jota kirjoittaja kuvailee vain ”pieneksi työkaluksi, jolla voi leikkiä Windowsin tietoturvalla”, on Benjamin Delpyn kehittämä uskomattoman tehokas loukkaava tietoturvatyökalu. Sitä käyttävät sekä penetration testaajat että haittaohjelmien tekijät. Tuhoisa 2017 NotPetya-haittaohjelma kiersi vuotaneita NSA: n urotöitä Eternalbluen tapaan yhdessä Mimikatzin kanssa saavuttaakseen mahdollisimman suuren vahingon.
alun perin Delpyn Tutkimusprojektiksi suunniteltu Mimikatz sisältää myös moduulin, joka pudottaa miinanraivaajan ulkomuistista ja kertoo, missä kaikki miinat sijaitsevat.
Mimikatzia ei ole vaikea käyttää, ja Mimikatz v1 tulee niputettuna Metasploitin osana Metasploit-skriptinä. Uutta Mimikatz v2-päivitystä ei ole vielä integroitu Metasploitiin tätä kirjoitettaessa.
nimi ”mimikatz” tulee Ranskan slangista ”mimi”, joka tarkoittaa söpöjä, siis ”söpöjä kissoja.”(Delpy on ranskalainen ja hän bloggaa äidinkielellään Mimikatz-sivustolla.)
miten Mimikatz vaikuttaa?
Mimikatz hyödyntää Windows single sign-on (SSO) – toimintoa tunnistetietojen keräämiseen. Windows 10: een asti Windows käytti oletuksena wdigest-nimistä ominaisuutta, joka lataa salatut salasanat muistiin, mutta lataa myös salaisen avaimen niiden salauksen purkamiseksi. WDigest on ollut hyödyllinen ominaisuus todennettaessa suuria käyttäjämääriä yrityksen tai valtion verkossa, mutta antaa myös Mimikatz hyödyntää tätä ominaisuutta dumppaamalla muistia ja purkamalla salasanat.
vuonna 2013 Microsoft teki mahdolliseksi poistaa tämän ominaisuuden käytöstä Windows 8.1: stä alkaen, ja se on oletusarvoisesti poistettu käytöstä Windows 10: ssä. Windows kuitenkin kuljettaa Wdigestiä edelleen, ja hallinnollisia oikeuksia saava hyökkääjä voi yksinkertaisesti kytkeä sen päälle ja ajaa Mimikatzia.
pahempaa, niin monet vanhat koneet ympäri maailmaa pyörittävät vanhempia Windows-versioita, että Mimikatz on edelleen uskomattoman tehokas myös ja tulee todennäköisesti pysymään sellaisena vielä monta vuotta.
historia Mimikatz
Delpy löysi WDigest vika Windows-todennus vuonna 2011, mutta Microsoft harjasi hänet pois, kun hän ilmoitti haavoittuvuuden. Vastauksena, hän loi Mimikatz — kirjoitettu C-ja lobed binary Internetiin, jossa se nopeasti saavuttanut suosiota tietoturvatutkijoiden, puhumattakaan ei-toivottua huomiota hallitusten ympäri maailmaa, tuloksena lopulta vapauttaa lähdekoodin GitHub.
Mimikatz joutui lähes välittömästi kansallisvaltioiden hyökkääjien käyttöön, ensimmäinen tunnettu tapaus oli vuonna 2011 hakkeroitu DigiNotar, nyt lakkautettu Hollannin varmenneviranomainen, joka meni murtautumisen seurauksena konkurssiin. Hyökkääjät antoivat Googlelle tekaistuja certejä ja vakoilivat niiden avulla useiden satojentuhansien iranilaisten käyttäjien Gmail-tilejä.
tietoturvatyökalua ovat sittemmin käyttäneet haittaohjelmien tekijät automatisoidakseen matojensa leviämistä, mukaan lukien edellä mainittu NotPetya-hyökkäys ja vuoden 2017 BadRabbit ransomware-epidemia. Mimikatz tulee todennäköisesti pysymään tehokkaana hyökkäävänä tietoturvatyökaluna Windows-alustoilla vielä useita vuosia.
miten puolustautua mimikatzia vastaan
puolustautuminen hyökkääjän Mimikatz-riiston jälkeistä käyttöä vastaan on haastavaa. Koska hyökkääjällä täytyy olla pääkäyttäjä Windows-ruudussa käyttääkseen Mimikatzia, peli on jo jollain tavalla ohi. Puolustuksesta tulee siis kysymys vahingon rajoittamisesta ja siitä aiheutuvan verilöylyn rajoittamisesta.
järjestelmänvalvojan oikeuksilla varustetun hyökkääjän riskin vähentäminen muistitietojen käytöstä mimikatzin avulla on kuitenkin mahdollista ja vaivan arvoista. Suuri take-away on rajoittaa järjestelmänvalvojan oikeudet vain käyttäjille, jotka todella tarvitsevat sitä.
Päivittäminen Windows 10: een tai 8: aan.1, ainakin, on alku ja vähentää riskiä hyökkääjä käyttää Mimikatz sinua vastaan, mutta monissa tapauksissa tämä ei ole vaihtoehto. Paikallisen turvallisuusviranomaisen (LSA) koventaminen koodin syöttämisen estämiseksi on toinen todistettu strategia riskin vähentämiseksi.
debug-oikeuksien (SeDebugPrivilege) sammuttaminen voi myös olla teholtaan vähäistä, sillä Mimikatz käyttää sisäänrakennettuja Windowsin virheenkorjaustyökaluja muistin dumppaamiseen. Wdigest manuaalisesti käytöstä vanhemmissa, unpatched versiot Windows hidastaa hyökkääjän, oh, minuutin tai kaksi-silti kannattaa tehdä, vaikka.
valitettavan yleinen käytäntö on yhden hallinnollisen salasanan uudelleenkäyttö koko yrityksessä. Varmista, että jokainen Windows-laatikko on oma ainutlaatuinen järjestelmänvalvojan salasana. Lopuksi Windows 8.1 ja korkeampi käynnissä lsass Suojattu tila tekee Mimikatz tehoton.
mimikatzin läsnäolon ja käytön havaitseminen yritysverkossa ei myöskään ole ihmelääke, sillä nykyisillä automaattisilla tunnistusratkaisuilla ei ole suurta onnistumisprosenttia. Paras puolustus on todennäköisesti hyvä hyökkäys: testaa omia järjestelmiäsi mimikatzilla säännöllisesti ja sinulla on todellinen ihmismonitoritoiminta verkossasi.