Mimikatz定義
Mimikatzは、ハッシュ、Pin、Kerberosチケットだけでなく、メモリからパスワードをダンプする主要な それが可能にする他の有用な攻撃は、pass-the-hash、pass-the-ticket、または黄金のKerberosチケットを構築することです。 これにより、ネットワーク内の悪用後の横方向の移動が攻撃者にとって容易になります。
Mimikatzは、著者が”Windowsセキュリティで遊ぶための小さなツール”と説明し、Benjamin Delpyによって開発された信じられないほど効果的な攻撃的なセキュリティツールです。 これは、同様に侵入テスターやマルウェアの作成者によって使用されます。 破壊的な2017NotPetyaマルウェアは、最大のダメージを達成するためにMimikatzと一緒にEternalBlueのようなNSAの悪用を漏洩しました。
もともと、Windowsのセキュリティをよりよく理解するためにDelpyによって研究プロジェクトとして考案されたMimikatzには、メモリから掃海艇をダンプし、すべての鉱山がどこにあるかを示すモジュールも含まれています。
Mimikatzは使いにくいものではなく、Mimikatz v1はMetasploitの一部としてmeterpreterスクリプトとしてバンドルされています。 この記事の執筆時点では、新しいMimikatz v2アップグレードはまだMetasploitに統合されていません。
“mimikatz”という名前は、フランス語のスラング”mimi”がかわいいことを意味し、”かわいい猫”に由来しています。”(デルピーはフランス語で、彼は母国語でMimikatzについてブログを書いています。)
Mimikatzはどのように機能しますか?
Mimikatzは、windowsシングルサインオン(SSO)機能を利用して資格情報を収集します。 Windows10までは、WindowsはデフォルトでWDigestと呼ばれる機能を使用しており、暗号化されたパスワードをメモリにロードしますが、秘密鍵をロードして復号化します。 WDigestは、企業や政府のネットワーク上で多数のユーザーを認証するための便利な機能でしたが、Mimikatzはメモリをダンプし、パスワードを抽出することによって、この機
2013年、MicrosoftはWindows8.1でこの機能を無効にすることを可能にし、Windows10ではデフォルトで無効になっています。 しかし、WindowsにはまだWDigestが付属しており、管理者権限を取得した攻撃者は単にそれをオンにしてMimikatzを実行することができます。
さらに悪いことに、世界中の非常に多くのレガシーマシンは、Mimikatzはまだあまりにも信じられないほど強力であり、おそらく今後何年ものためにそう残
History of Mimikatz
Delpyは2011年にWindows認証のWDigestの欠陥を発見しましたが、マイクロソフトはこの脆弱性を報告したときに彼をブラッシュオフしました。 これに対応して、彼はCで書かれたMimikatzを作成し、バイナリをインターネットにロブし、世界中の政府からの不要な注意はもちろんのこと、セキュリティ研究者の間ですぐに人気を博し、最終的にGitHubでソースコードがリリースされました。
Mimikatzは、ほとんどすぐに国家の攻撃者によって使用されました,最初の知られているケースはDigiNotarの2011ハックです,今は亡きオランダの認証局,侵入の結果とし 攻撃者はGoogleの偽の証明書を発行し、数十万人のイランのユーザーのGmailアカウントをスパイするためにそれらを使用しました。
このセキュリティツールは、前述のNotPetya攻撃や2017年のBadRabbit ransomwareの流行など、マルウェア作成者によってワームの拡散を自動化するために使用されています。 Mimikatzは、おそらく今後何年もの間、Windowsプラットフォーム上で効果的な攻撃的なセキュリティツールのままになります。
Mimikatzに対して防御する方法
攻撃者によるMimikatzの使用に対する防御は、搾取後に困難です。 Mimikatzを使用するには、攻撃者がWindowsボックスにrootアクセス権を持っている必要があるため、いくつかの点ですでにゲームオーバーです。 したがって、防御はダメージを抑え、結果として生じる大虐殺を制限する問題になります。
管理者権限を持つ攻撃者がMimikatzを使用してメモリ内の資格情報にアクセスするリスクを軽減することは可能であり、問題の価値があります。 大きな問題は、管理者権限を実際に必要とするユーザーのみに制限することです。
Windows10または8にアップグレードします。1は、少なくとも、スタートであり、あなたに対してMimikatzを使用して攻撃者のリスクを軽減しますが、多くの場合、これはオプションではありません。 コードインジェクションを防止するためにローカルセキュリティ機関(LSA)を強化することは、リスクを軽減するためのもう1つの実証済みの戦略です。
デバッグ権限(SeDebugPrivilege)をオフにすると、Mimikatzは組み込みのWindowsデバッグツールを使用してメモリをダンプするため、有効性が制限される可能性があります。 パッチが適用されていない古いバージョンのWindowsでWDigestを手動で無効にすると、攻撃者が1分か2分遅くなりますが、それでもやる価値があります。
残念なことに、一般的な方法は、企業全体で単一の管理パスワードを再利用することです。 各Windowsボックスに固有の管理者パスワードがあることを確認します。 最後に、保護モードでLSASSを実行しているWindows8.1以降では、Mimikatzは無効になります。
現在の自動検出ソリューションは高い成功率を誇っていないため、企業ネットワーク上のMimikatzの存在と使用を検出することは万能薬ではありません。 最高の防衛は、おそらく良い犯罪です:定期的にMimikatzで独自のシステムをテストし、ネットワーク上の実際の人間のモニター活動を持っています。