Mimikatz definisjon
Mimikatz er en ledende post-utnyttelse verktøy som dumper passord fra minnet, samt hashes, PINs og Kerberos billetter. Andre nyttige angrep det gjør er pass-the-hash, pass-the-ticket eller bygge Golden Kerberos billetter. Dette gjør sidebevegelser etter utnyttelse i et nettverk enkelt for angripere.Mimikatz, beskrevet av forfatteren som bare «et lite verktøy for Å leke Med Windows-sikkerhet», er et utrolig effektivt støtende sikkerhetsverktøy utviklet av Benjamin Delpy. Den brukes av penetrasjonstestere og malware forfattere likt. Den destruktive 2017 NotPetya malware rullet lekket NSA utnytter som EternalBlue sammen Med Mimikatz for å oppnå maksimal skade.Opprinnelig oppfattet Som Et forskningsprosjekt Av Delpy for bedre å forstå Windows-sikkerhet, Inneholder Mimikatz også en modul som dumper Minesveiper fra minnet og forteller deg hvor alle gruvene ligger.Mimikatz Er ikke vanskelig å bruke, Og Mimikatz v1 leveres som en meterpreter script som En Del Av Metasploit. Den nye Mimikatz v2 oppgraderingen har ennå ikke blitt integrert I Metasploit i skrivende stund.
navnet «mimikatz» kommer fra den franske slang «mimi» betyr søt, dermed » søte katter.»(Delpy er fransk og han blogger På Mimikatz på sitt morsmål.)
Hvordan Fungerer Mimikatz?
Mimikatz utnytter WINDOWS single sign-on (SSO) funksjonalitet for å høste legitimasjon. Inntil Windows 10 brukte Windows som standard en funksjon kalt WDigest som laster krypterte passord i minnet, men laster også den hemmelige nøkkelen for å dekryptere dem. WDigest har vært en nyttig funksjon for å autentisere et stort antall brukere på et bedrifts-eller regjeringsnettverk, men lar Også Mimikatz utnytte denne funksjonen ved å dumpe minne og trekke ut passordene.
I 2013 gjorde Microsoft det mulig å deaktivere denne funksjonen Fra Windows 8.1, og den er deaktivert som standard I Windows 10. Men Windows fortsatt leveres Med WDigest, og en angriper som får administrative rettigheter kan bare slå den på og kjøre Mimikatz.Verre, så mange eldre maskiner rundt om i verden kjører eldre versjoner Av Windows Som Mimikatz er fortsatt en utrolig kraftig også, og vil trolig forbli så i mange år framover.
Historie Mimikatz
Delpy oppdaget wdigest feil I windows-godkjenning i 2011, Men Microsoft børstet ham da Han rapporterte sikkerhetsproblemet. Som svar skapte Han Mimikatz-skrevet I C-og lobbet binæret på internett, hvor det raskt ble populært blant sikkerhetsforskere, for ikke å nevne uønsket oppmerksomhet fra regjeringer over hele verden, noe som resulterte i eventuell utgivelse av kildekoden på GitHub.Mimikatz ble nesten umiddelbart brukt av nasjonalstat-angripere, den første kjente saken var 2011 hack Av DigiNotar, den nå nedlagte nederlandske sertifikatmyndigheten, som gikk konkurs som følge av inntrengningen. Angriperne utstedte falske certs For Google og brukte Dem til å spionere På Gmail-kontoene til flere hundre tusen Iranske brukere.
sikkerhetsverktøyet har siden blitt brukt av malwareforfattere til å automatisere spredningen av ormene sine, inkludert det nevnte NotPetya-angrepet og 2017 BadRabbit ransomware-utbruddet. Mimikatz vil trolig forbli et effektivt støtende sikkerhetsverktøy På Windows-plattformer i mange år framover.
hvordan forsvare Seg mot Mimikatz
Å Forsvare seg mot en angriperes bruk Av Mimikatz etter utnyttelse er utfordrende. Siden en angriper må ha root-tilgang på En Windows-boks for å bruke Mimikatz, er det allerede game over på noen måter. Forsvaret blir derfor et sporsmal om å inneholde skaden og begrense den resulterende blodbadet.
Å Redusere risikoen for at en angriper med administratorrettigheter får tilgang til legitimasjon i minnet Ved Hjelp Av Mimikatz er mulig og verdt bryet, men. Den store take-away er å begrense administratorrettigheter til bare brukere som faktisk trenger det.
Oppgradering Til Windows 10 eller 8.1, i det minste, er en start og vil redusere risikoen for at en angriper bruker Mimikatz mot deg, men i mange tilfeller er dette ikke et alternativ. Herding Av Den Lokale Sikkerhetsmyndigheten (Lsa) for å forhindre kodeinjeksjon er en annen bevist strategi for å redusere risikoen.Slå av debug privilegier (SeDebugPrivilege) Kan også være av begrenset effektivitet, Som Mimikatz bruker innebygde windows debugging verktøy for å dumpe minne. Deaktivering av wdigest manuelt på eldre, upatchede versjoner Av Windows vil redusere en angriper for, oh, et minutt eller to — fortsatt verdt å gjøre, skjønt.
en dessverre vanlig praksis er gjenbruk av et enkelt administrativt passord på tvers av en bedrift. Kontroller at Hver Windows-boksen har sin egen unike admin passord. Til Slutt, På Windows 8.1 og høyere kjører LSASS i beskyttet modus Vil Gjøre Mimikatz ineffektiv.Å Oppdage Tilstedeværelse og bruk Av Mimikatz på et bedriftsnettverk er heller ikke et paradis, da dagens automatiserte deteksjonsløsninger ikke har en høy suksessrate. Det beste forsvaret er sannsynligvis en god lovbrudd: Test dine egne systemer med Mimikatz regelmessig og ha en faktisk menneskelig skjermaktivitet på nettverket ditt.