Mimikatz definicja
Mimikatz jest wiodącym narzędziem poeksploatacyjnym, które usuwa hasła z pamięci, a także hasze, piny i bilety Kerberos. Inne przydatne ataki, które umożliwia, to pass-the-hash, pass-the-ticket lub budowanie biletów Golden Kerberos. Ułatwia to atakującym boczne przemieszczanie się po eksploatacji w obrębie sieci.
Mimikatz, opisany przez autora jako „małe narzędzie do zabawy z zabezpieczeniami Windows”, jest niezwykle skutecznym narzędziem bezpieczeństwa ofensywnego opracowanym przez Benjamina Delpy ’ ego. Jest używany zarówno przez testerów penetracyjnych, jak i autorów złośliwego oprogramowania. Destrukcyjne złośliwe oprogramowanie 2017 NotPetya wytoczyło wyciekające exploity NSA, takie jak EternalBlue wraz z Mimikatz, aby osiągnąć maksymalne obrażenia.
pierwotnie pomyślany jako projekt badawczy przez Delpy, aby lepiej zrozumieć bezpieczeństwo systemu Windows, Mimikatz zawiera również moduł, który wyrzuca Saper z pamięci i informuje, gdzie znajdują się wszystkie miny.
Mimikatz nie jest trudny w użyciu, a Mimikatz v1 jest dostarczany jako skrypt meterpretera jako część Metasploita. Nowa aktualizacja Mimikatz v2 nie została jeszcze zintegrowana z Metasploitem.
nazwa „mimikatz” pochodzi od francuskiego slangu „mimi” oznaczającego słodkie, a więc „słodkie koty.”(Delpy jest Francuzem i bloguje na Mimikatz w swoim ojczystym języku.)
jak działa Mimikatz?
Mimikatz wykorzystuje funkcjonalność Windows single sign-on (SSO) do zbierania poświadczeń. Do systemu Windows 10 System Windows domyślnie używał funkcji o nazwie WDigest, która ładuje zaszyfrowane hasła do pamięci, ale także ładuje tajny klucz, aby je odszyfrować. WDigest jest przydatną funkcją uwierzytelniania dużej liczby użytkowników w sieci korporacyjnej lub rządowej, ale pozwala Mimikatz wykorzystać tę funkcję, zrzucając pamięć i wyodrębniając hasła.
w 2013 r.Microsoft umożliwił wyłączenie tej funkcji od systemu Windows 8.1 i jest domyślnie wyłączona w systemie Windows 10. Jednak System Windows nadal jest dostarczany z WDigest, a atakujący, który uzyska Uprawnienia administracyjne, może go po prostu włączyć i uruchomić Mimikatz.
co gorsza, tak wiele starszych maszyn na całym świecie uruchamia starsze wersje systemu Windows, że Mimikatz jest nadal niesamowicie potężny i prawdopodobnie pozostanie tak przez wiele lat.
Historia Mimikatz
Delpy odkrył błąd WDigest w uwierzytelnianiu systemu Windows w 2011 roku, ale Microsoft usunął go, gdy zgłosił lukę. W odpowiedzi stworzył Mimikatz-napisany w języku C-i wprowadził plik binarny do Internetu, gdzie szybko zyskał popularność wśród badaczy bezpieczeństwa, nie wspominając o niechcianej uwadze ze strony rządów na całym świecie, co doprowadziło do wydania kodu źródłowego na Githubie.
Mimikatz został prawie natychmiast użyty przez napastników z państw narodowych, pierwszym znanym przypadkiem był haker DigiNotar, nieistniejącego już holenderskiego urzędu certyfikacji, który zbankrutował w wyniku włamania w 2011 roku. Napastnicy wydali fałszywe certyfikaty dla Google i wykorzystali je do szpiegowania kont Gmail kilkuset tysięcy irańskich użytkowników.
narzędzie bezpieczeństwa jest od tego czasu używane przez autorów złośliwego oprogramowania do automatyzacji rozprzestrzeniania się robaków, w tym wspomnianego ataku NotPetya i epidemii Ransomware BadRabbit z 2017 roku. Mimikatz prawdopodobnie pozostanie skutecznym narzędziem bezpieczeństwa ofensywnego na platformach Windows przez wiele lat.
jak bronić się przed Mimikatz
obrona przed atakującym użycie Mimikatz post-exploitation jest wyzwaniem. Ponieważ atakujący musi mieć dostęp do roota na oknie systemu Windows, aby używać Mimikatz, jest to już game over w pewien sposób. Obrona staje się więc kwestią powstrzymania szkód i ograniczenia powstałej rzezi.
ograniczenie ryzyka atakującego z uprawnieniami administratora dostępu do danych uwierzytelniających w pamięci za pomocą Mimikatz jest jednak możliwe i warte zachodu. Wielkim wyjściem jest ograniczenie uprawnień administratora tylko do użytkowników, którzy faktycznie ich potrzebują.
Aktualizacja do Windows 10 lub 8.1, przynajmniej, jest początkiem i zmniejszy ryzyko atakującego za pomocą Mimikatz przeciwko tobie, ale w wielu przypadkach nie jest to opcja. Kolejną sprawdzoną strategią ograniczania ryzyka jest wzmocnienie lokalnego organu bezpieczeństwa (LSA) w celu zapobiegania wstrzykiwaniu kodu.
wyłączenie uprawnień do debugowania (SeDebugPrivilege) może być również ograniczone, ponieważ Mimikatz używa wbudowanych narzędzi do debugowania Windows do zrzutu pamięci. Wyłączenie WDigest ręcznie w starszych, niepasowanych wersjach systemu Windows spowolni atakującego na minutę lub dwie-mimo to warto to zrobić.
Niestety powszechną praktyką jest ponowne użycie jednego hasła administracyjnego w przedsiębiorstwie. Upewnij się, że każda skrzynka systemu Windows ma własne unikalne hasło administratora. Wreszcie, w systemie Windows 8.1 i wyższym uruchamianie LSASS w trybie chronionym sprawi, że Mimikatz będzie nieskuteczny.
wykrywanie obecności i wykorzystania Mimikatz w sieci korporacyjnej również nie jest panaceum, ponieważ obecne rozwiązania automatycznego wykrywania nie mogą pochwalić się wysokim wskaźnikiem sukcesu. Najlepszą obroną jest prawdopodobnie dobra ofensywa: regularnie Testuj własne systemy z Mimikatz i miej rzeczywistą aktywność ludzkiego monitora w swojej sieci.