Mimikatz definition
Mimikatz is a leading post-exploitation tool that dumps passwords from memory, as well as hashes, PINs and Kerberos tickets. Outros ataques úteis que ele permite são passe-o-hash, passe-o-bilhete ou construir bilhetes Golden Kerberos. Isso torna o movimento lateral pós-exploração dentro de uma rede fácil para os atacantes.
Mimikatz, descrito pelo autor como apenas “uma pequena ferramenta para brincar com a segurança do Windows”, é uma ferramenta de segurança ofensiva incrivelmente eficaz desenvolvida por Benjamin Delpy. É usado por Testadores de penetração e autores de malware. O destructive 2017 NotPetya malware rolou vazou façanhas da NSA como EternalBlue junto com Mimikatz para atingir o máximo de danos.
originalmente concebido como um projeto de pesquisa por Delpy para entender melhor a segurança do Windows, Mimikatz também inclui um módulo que descarrega Minesweeper da memória e lhe diz onde todas as minas estão localizadas.
Mimikatz não é difícil de usar, e Mimikatz v1 vem agrupado como um script meterpreter como parte do Metasploit. A nova atualização Mimikatz v2 ainda não foi integrada no Metasploit a partir desta escrita.
o nome “mimikatz” vem da Gíria Francesa ” mimi “que significa bonito, portanto “gatos bonitos”.”(Delpy é francês e bloga em Mimikatz em sua língua nativa.)
como funciona o Mimikatz?
Mimikatz explora a funcionalidade Windows single sign-on (SSO) para colher as credenciais. Até o Windows 10, O Windows por padrão usou uma funcionalidade chamada WDigest que carrega senhas criptografadas na memória, mas também carrega a chave secreta para descriptografá-las. A WDigest tem sido uma característica útil para autenticar um grande número de utilizadores numa rede empresarial ou governamental, mas também permite que a Mimikatz explore este recurso, despojando a memória e extraindo as senhas.
em 2013, a Microsoft tornou possível desativar este recurso a partir do Windows 8.1, e é desativado por padrão no Windows 10. No entanto, o Windows ainda navega com WDigest, e um atacante que ganha privilégios administrativos pode simplesmente ligá-lo e executar Mimikatz.
pior ainda, muitas máquinas legadas em todo o mundo rodam versões mais antigas do Windows que Mimikatz ainda é incrivelmente poderoso e provavelmente continuará assim por muitos anos para vir.
a história do Mimikatz
Delpy descobriu a maior falha na autenticação do Windows em 2011, mas a Microsoft afastou-o quando relatou a vulnerabilidade. Em resposta, ele criou Mimikatz — escrito em C — e arremessou o binário para a internet, onde rapidamente ganhou popularidade entre os pesquisadores de segurança, para não mencionar a atenção indesejada de governos de todo o mundo, resultando em uma eventual liberação do código-fonte no GitHub.
Mimikatz foi quase imediatamente usado por atacantes do Estado-nação, sendo o primeiro caso conhecido o hack de DigiNotar 2011, a agora extinta Autoridade holandesa de certificados, que faliu como resultado da intrusão. Os atacantes emitiram certs falsos para o Google e os usaram para espionar as contas do Gmail de várias centenas de milhares de Usuários Iranianos.
a ferramenta de segurança tem sido usada desde então por autores de malware para automatizar a propagação de seus worms, incluindo o mencionado ataque NotPetya e o surto de badrabbit ransomware 2017. Mimikatz provavelmente continuará a ser uma ferramenta de segurança ofensiva eficaz nas plataformas Windows por muitos anos.
como defender contra Mimikatz
defender contra o uso de Mimikatz por parte de um atacante é um desafio. Uma vez que um atacante deve ter acesso root em uma caixa do Windows para usar Mimikatz, ele já está terminado de alguma forma. A defesa torna-se, portanto, uma questão de conter os danos e limitar a carnificina resultante.
reduzir o risco de um atacante com privilégios de administrador de acessar credenciais na memória usando Mimikatz é possível e vale a pena o problema, no entanto. O grande take-away é limitar os privilégios de administrador a apenas usuários que realmente precisam dele.actualização para as janelas 10 ou 8.1, pelo menos, é um começo e irá mitigar o risco de um atacante usar Mimikatz contra você, mas em muitos casos isso não é uma opção. Endurecer a Autoridade de Segurança Local (LSA) para prevenir a injeção de código é outra estratégia comprovada para mitigar o risco.
desligar os privilégios de depuração (SeDebugPrivilege) também pode ser de eficácia limitada, uma vez que o Mimikatz usa ferramentas embutidas de depuração do Windows para descarregar a memória. Desativar wdigest manualmente em versões mais antigas e não-gravadas do Windows irá atrasar um atacante por, oh, um minuto ou dois — ainda vale a pena fazer, no entanto.
uma prática infelizmente comum é a reutilização de uma única senha administrativa através de uma empresa. Certifique-se de que cada caixa do Windows tem a sua própria senha de administração única. Finalmente, no Windows 8.1 e maior LSASS em execução no modo protegido irá tornar Mimikatz ineficaz.
detectar a presença e o uso de Mimikatz numa rede empresarial também não é uma panaceia, uma vez que as actuais soluções de detecção automatizada não apresentam uma elevada taxa de sucesso. A melhor defesa é provavelmente uma boa ofensa: testar seus próprios sistemas com Mimikatz regularmente e ter uma atividade de monitor humano real em sua rede.