Mimikatz definition
a Mimikatz egy vezető kizsákmányolás utáni eszköz, amely a jelszavakat a memóriából, valamint a kivonatokat, pineket és Kerberos jegyeket dobja ki. Egyéb hasznos támadások lehetővé teszi a pass-the-hash, pass-the-ticket vagy épület arany Kerberos jegyek. Ez megkönnyíti a hálózaton belüli kizsákmányolás utáni oldalirányú mozgást a támadók számára.
a Mimikatz, amelyet a szerző csak “egy kis eszköz a Windows biztonsággal való játékhoz”, egy hihetetlenül hatékony támadó biztonsági eszköz, amelyet Benjamin Delpy fejlesztett ki. A penetrációs tesztelők és a rosszindulatú programok szerzői egyaránt használják. A pusztító 2017 NotPetya malware hengerelt kiszivárgott NSA kihasználja, mint EternalBlue együtt Mimikatz elérni a maximális kárt.
a Delpy által eredetileg a Windows biztonságának jobb megértése érdekében tervezett Mimikatz tartalmaz egy modult is, amely az aknavetőt a memóriából dobja ki, és megmondja, hol található az összes akna.
Mimikatz nem nehéz használni, és Mimikatz v1 jön a csomagban, mint egy meterpreter script részeként Metasploit. Az új Mimikatz v2 frissítést az írás óta még nem integrálták a Metasploitba.
a “mimikatz” név a francia szlengből származik “Mimi” jelentése aranyos, tehát “aranyos macskák.”(Delpy francia, és anyanyelvén blogol a Mimikatzról.)
hogyan fejti ki hatását a Mimikatz?
a Mimikatz kihasználja a Windows egyszeri bejelentkezési (SSO) funkcionalitását a hitelesítő adatok betakarításához. A Windows 10-ig a Windows alapértelmezés szerint a wdigest nevű funkciót használta, amely titkosított jelszavakat tölt be a memóriába, de betölti a titkos kulcsot is a dekódoláshoz. A WDigest hasznos funkció volt nagyszámú felhasználó hitelesítésére vállalati vagy kormányzati hálózaton, de lehetővé teszi a Mimikatz számára, hogy kihasználja ezt a funkciót a memória eldobásával és a jelszavak kibontásával.
2013-ban a Microsoft lehetővé tette ennek a funkciónak a letiltását a Windows 8.1-től kezdve, a Windows 10 alapértelmezés szerint le van tiltva. Azonban a Windows továbbra is a wdigest-et szállítja, és egy támadó, aki rendszergazdai jogosultságokat szerez, egyszerűen bekapcsolhatja és futtathatja a Mimikatz-ot.
ami még rosszabb, annyi régi gépek szerte a világon fut régebbi Windows-verziók, hogy Mimikatz még mindig hihetetlenül erős is, és valószínűleg így is marad sok éven át.
A Mimikatz története
Delpy 2011-ben fedezte fel a Windows hitelesítésének legnagyobb hibáját, de a Microsoft lesöpörte őt, amikor jelentette a sebezhetőséget. Válaszul létrehozta a Mimikatz — T-C-ben írva -, és a binárist az internetre terjesztette, ahol gyorsan népszerűvé vált a biztonsági kutatók körében, nem is beszélve a kormányok nemkívánatos figyelméről szerte a világon, ami végül a forráskód kiadását eredményezte a Githubon.
a Mimikatz-ot szinte azonnal használták a nemzetállami támadók, az első ismert eset a DigiNotar, a már megszűnt Holland tanúsító hatóság 2011-es feltörése volt, amely a behatolás következtében csődbe ment. A támadók hamis cert-eket adtak ki a Google számára, és több százezer Iráni felhasználó Gmail-fiókjának kémkedésére használták őket.
a biztonsági eszközt azóta a rosszindulatú programok szerzői használják férgeik terjedésének automatizálására, beleértve a fent említett NotPetya támadást és a 2017-es BadRabbit ransomware kitörést. A Mimikatz valószínűleg sok éven át hatékony támadó biztonsági eszköz marad a Windows platformokon.
hogyan védekezhetünk a Mimikatz ellen
kihívást jelent a támadó Mimikatz kihasználás utáni használata elleni védekezés. Mivel a támadónak root hozzáféréssel kell rendelkeznie a Windows dobozban a Mimikatz használatához, bizonyos szempontból már vége a játéknak. A védelem tehát a kár megfékezésének és az ebből eredő vérontás korlátozásának kérdésévé válik.
a Mimikatz használatával csökkenthető annak kockázata, hogy a rendszergazdai jogosultságokkal rendelkező támadó hozzáférjen a memóriában lévő hitelesítő adatokhoz, azonban megéri a fáradságot. A nagy Elvitel az, hogy az adminisztrátori jogosultságokat csak azokra a felhasználókra korlátozza, akiknek valóban szükségük van rá.
frissítés Windows 10 vagy 8 rendszerre.Az 1 legalább egy kezdet, és csökkenti annak kockázatát, hogy a támadó a Mimikatz-t használja ellened, de sok esetben ez nem lehetséges. A helyi biztonsági Hatóság (LSA) megkeményítése a kódinjekció megakadályozása érdekében egy másik bevált stratégia a kockázat enyhítésére.
a hibakeresési jogosultságok kikapcsolása (SeDebugPrivilege) szintén korlátozott hatékonyságú lehet, mivel a Mimikatz beépített Windows hibakeresési eszközöket használ a memória kiürítéséhez. A WDigest manuális letiltása A Windows régebbi, nem javított verzióin lelassítja a támadót, Ó, egy-két percig-mégis érdemes megtenni.
sajnos általános gyakorlat az egyetlen adminisztrátori jelszó újrafelhasználása egy vállalaton belül. Győződjön meg arról, hogy minden Windows doboz saját egyedi rendszergazdai jelszóval rendelkezik. Végül, a Windows 8.1 vagy újabb futó LSASS védett módban teszi Mimikatz hatástalan.
a Mimikatz jelenlétének és használatának észlelése egy vállalati hálózaton sem csodaszer, mivel a jelenlegi automatizált észlelési megoldások nem büszkélkedhetnek magas sikerességi aránnyal. A legjobb védekezés valószínűleg egy jó támadás: rendszeresen tesztelje saját rendszereit a Mimikatz segítségével, és tényleges emberi monitor tevékenységet végezzen a hálózatán.