Mimikatz definitie
Mimikatz is een toonaangevende post-exploitatie tool die wachtwoorden dumpt uit het geheugen, evenals hashes, PINs en Kerberos tickets. Andere nuttige aanvallen die het mogelijk maakt zijn pass-the-hash, pass-the-ticket of building Golden Kerberos tickets. Dit maakt post-exploitatie laterale beweging binnen een netwerk gemakkelijk voor aanvallers.
Mimikatz, door de auteur beschreven als “een klein hulpmiddel om met Windows-beveiliging te spelen”, is een ongelooflijk effectieve aanvallende beveiligingshulpmiddel ontwikkeld door Benjamin Delpy. Het wordt gebruikt door penetratie testers en malware auteurs gelijk. De destructieve 2017 NotPetya malware gerold gelekte NSA exploits zoals EternalBlue samen met Mimikatz om maximale schade te bereiken.
oorspronkelijk ontworpen als een onderzoeksproject door Delpy om Windows beveiliging beter te begrijpen, bevat Mimikatz ook een module die Mijnenveger uit het geheugen dumpt en u vertelt waar alle mijnen zich bevinden.
Mimikatz is niet moeilijk te gebruiken, en Mimikatz v1 wordt gebundeld als een Meterpreter script als onderdeel van Metasploit. De nieuwe Mimikatz v2 upgrade is nog niet geïntegreerd in Metasploit vanaf dit schrijven.
de naam “mimikatz “komt van het Franse jargon” mimi “wat schattig betekent, dus” schattige katten.”(Delpy is Frans en Hij blogt op Mimikatz in zijn moedertaal.)
Hoe werkt Mimikatz?
Mimikatz gebruikt de SSO-functionaliteit (single sign-on) van Windows om referenties te oogsten. Tot Windows 10, Windows standaard gebruikt een functie genaamd WDigest die versleutelde wachtwoorden laadt in het geheugen, maar laadt ook de geheime sleutel om ze te decoderen. WDigest is een handige functie voor het authenticeren van grote aantallen gebruikers op een bedrijf of de overheid netwerk, maar ook laat Mimikatz benutten deze functie door het dumpen van geheugen en het extraheren van de wachtwoorden.
in 2013 maakte Microsoft het mogelijk om deze functie uit te schakelen vanaf Windows 8.1, en het is standaard uitgeschakeld in Windows 10. Echter, Windows wordt nog steeds geleverd met WDigest, en een aanvaller die beheerdersrechten krijgt kan gewoon inschakelen en uitvoeren Mimikatz.
erger nog, zo veel oudere machines over de hele wereld draaien oudere versies van Windows dat Mimikatz is nog steeds een ongelooflijk krachtige Te en zal waarschijnlijk blijven voor vele jaren te komen.
geschiedenis van Mimikatz
Delpy ontdekte de wdigest-fout in Windows-authenticatie in 2011, maar Microsoft veegde hem af toen hij de kwetsbaarheid meldde. Als reactie, hij creëerde Mimikatz-geschreven in C-en lobde de binaire op het internet, waar het snel aan populariteit gewonnen onder security onderzoekers, niet te vergeten ongewenste aandacht van overheden over de hele wereld, wat resulteert in de uiteindelijke release van de broncode op GitHub.
Mimikatz werd vrijwel onmiddellijk gebruikt door nationale aanvallers, het eerste bekende geval was de hack van DigiNotar in 2011, de inmiddels ter ziele gegane Nederlandse certificaatautoriteit, die failliet ging als gevolg van de inbraak. De aanvallers uitgegeven valse certs voor Google en gebruikt ze om te spioneren op de Gmail-accounts van enkele honderdduizenden Iraanse gebruikers.
De security tool is sindsdien gebruikt door malware auteurs om de verspreiding van hun wormen te automatiseren, met inbegrip van de bovengenoemde NotPetya aanval en de 2017 BadRabbit ransomware uitbraak. Mimikatz zal waarschijnlijk nog vele jaren een effectief offensief beveiligingshulpmiddel op Windows-platforms blijven.
hoe te verdedigen tegen Mimikatz
verdedigen tegen het gebruik van Mimikatz na exploitatie door een aanvaller is een uitdaging. Omdat een aanvaller root-toegang moet hebben op een Windows-box om Mimikatz te gebruiken, is het al game over in sommige opzichten. Verdediging wordt daarom een kwestie van het beperken van de schade en het beperken van de resulterende bloedbad.
Het verminderen van het risico dat een aanvaller met beheerdersrechten toegang krijgt tot in-memory referenties met behulp van Mimikatz is echter mogelijk en de moeite waard. De grote take-away is om beheerdersrechten te beperken tot alleen gebruikers die het daadwerkelijk nodig hebben.
upgraden naar Windows 10 of 8.1, ten minste, is een begin en zal het risico van een aanvaller met behulp van Mimikatz tegen u te beperken, maar in veel gevallen is dit geen optie. Het verharden van de Local Security Authority (LSA) om code-injectie te voorkomen is een andere bewezen strategie om het risico te beperken.
het uitschakelen van debugrechten (SeDebugPrivilege) kan ook van beperkte effectiviteit zijn, omdat Mimikatz ingebouwde Windows debugging tools gebruikt om geheugen te dumpen. Het uitschakelen van wdigest handmatig op oudere, ongepatchte versies van Windows zal vertragen een aanvaller voor, oh, een minuut of twee – nog steeds de moeite waard, hoewel.
Een helaas gangbare praktijk is het hergebruik van een enkel beheerderswachtwoord in een onderneming. Zorg ervoor dat elke Windows box zijn eigen unieke admin wachtwoord heeft. Tot slot, op Windows 8.1 en hoger met LSASS in de beschermde modus zal Mimikatz ineffectief te maken.
het detecteren van de aanwezigheid en het gebruik van Mimikatz op een bedrijfsnetwerk is ook geen wondermiddel, aangezien de huidige geautomatiseerde detectieoplossingen geen hoog succespercentage hebben. De beste verdediging is waarschijnlijk een goede aanval: Test uw eigen systemen met Mimikatz regelmatig en hebben een werkelijke menselijke monitor activiteit op uw netwerk.