Mimikatz definiție
Mimikatz este un instrument de conducere post-exploatare care elimină parolele din memorie, precum și hash-uri, pini și bilete Kerberos. Alte atacuri utile pe care le permite sunt pass-the-hash, pass-the-ticket sau construirea biletelor Golden Kerberos. Acest lucru face ca mișcarea laterală post-exploatare într-o rețea să fie ușoară pentru atacatori.Mimikatz, descris de autor ca fiind doar „un mic instrument de jucat cu securitatea Windows”, este un instrument de securitate ofensiv incredibil de eficient dezvoltat de Benjamin Delpy. Este folosit de testeri de penetrare și autori de malware deopotrivă. Malware-ul distructiv NotPetya din 2017 a rulat exploatări NSA scurgeri precum EternalBlue împreună cu Mimikatz pentru a obține daune maxime.
conceput inițial ca un proiect de cercetare de către Delpy pentru a înțelege mai bine securitatea Windows, Mimikatz include, de asemenea, un modul care elimină Minesweeper din memorie și vă spune unde se află toate minele.Mimikatz nu este dificil de utilizat, și Mimikatz v1 vine la pachet ca un script meterpreter, ca parte a Metasploit. Noul upgrade Mimikatz v2 nu a fost încă integrat în Metasploit începând cu această scriere.
numele „mimikatz” provine din argoul francez „mimi” care înseamnă drăguț, deci „pisici drăguțe.”(Delpy este francez și face bloguri pe Mimikatz în limba sa maternă.)
cum acționează Mimikatz?
Mimikatz exploatează funcționalitatea Windows single sign-on (SSO) pentru a recolta acreditările. Până la Windows 10, Windows a folosit în mod implicit o caracteristică numită WDigest care încarcă parolele criptate în memorie, dar încarcă și cheia secretă pentru a le decripta. WDigest a fost o caracteristică utilă pentru autentificarea unui număr mare de utilizatori într-o rețea enterprise sau guvernamentală, dar permite, de asemenea, Mimikatz să exploateze această caracteristică prin dumping de memorie și extragerea parolelor.
în 2013, Microsoft a făcut posibilă dezactivarea acestei funcții începând cu Windows 8.1 și este dezactivată în mod implicit în Windows 10. Cu toate acestea, Windows este încă livrat cu WDigest, iar un atacator care câștigă privilegii administrative îl poate porni și rula Mimikatz.
mai rău, atât de multe mașini vechi din întreaga lume rulează versiuni mai vechi de Windows, încât Mimikatz este încă un incredibil de puternic și probabil va rămâne așa mulți ani de acum încolo.
istoria Mimikatz
Delpy a descoperit defectul WDigest în autentificarea Windows în 2011, dar Microsoft l-a eliminat când a raportat vulnerabilitatea. Ca răspuns, el a creat Mimikatz-scris în C-și a introdus binarul pe internet, unde a câștigat rapid popularitate în rândul cercetătorilor de securitate, ca să nu mai vorbim de atenția nedorită din partea guvernelor din întreaga lume, rezultând în eventuala eliberare a codului sursă pe GitHub.Mimikatz a fost folosit aproape imediat de atacatorii statelor naționale, primul caz cunoscut fiind hack-ul din 2011 al DigiNotar, Autoritatea olandeză de certificare, care a dat faliment ca urmare a intruziunii. Atacatorii au emis certificate false pentru Google și le-au folosit pentru a spiona conturile Gmail ale câtorva sute de mii de utilizatori Iranieni.
instrumentul de securitate a fost folosit de autorii de malware pentru a automatiza răspândirea viermilor lor, inclusiv atacul NotPetya menționat anterior și focarul de ransomware badrabbit 2017. Mimikatz va rămâne probabil un instrument eficient de securitate ofensiv pe platformele Windows pentru mulți ani următori.
cum să vă apărați împotriva Mimikatz
apărarea împotriva utilizării de către atacator a Mimikatz post-exploatare este o provocare. Deoarece un atacator trebuie să aibă acces root pe o casetă Windows pentru a utiliza Mimikatz, este deja jocul în anumite moduri. Prin urmare, apărarea devine o chestiune de a conține daunele și de a limita carnagiul rezultat.
reducerea riscului ca un atacator cu privilegii de administrator să acceseze acreditările din memorie folosind Mimikatz este posibil și merită totuși problema. Marea preluare este de a limita privilegiile de administrare numai utilizatorilor care au nevoie de fapt.
actualizarea la Windows 10 sau 8.1, cel puțin, este un început și va atenua riscul ca un atacator să folosească Mimikatz împotriva ta, dar în multe cazuri aceasta nu este o opțiune. Întărirea autorității locale de securitate (lsa) pentru a preveni injectarea codului este o altă strategie dovedită pentru a atenua riscul.
dezactivarea privilegiilor de depanare (SeDebugPrivilege) poate avea, de asemenea, o eficiență limitată, deoarece Mimikatz folosește instrumente de depanare Windows încorporate pentru a descărca memoria. Dezactivarea manuală a WDigest pe versiunile mai vechi, nepatchate de Windows, va încetini un atacator pentru, oh, un minut sau două — totuși merită făcut.
Din păcate, o practică obișnuită este reutilizarea unei singure parole administrative într-o întreprindere. Asigurați-vă că fiecare casetă Windows are propria parolă unică de administrator. În cele din urmă, pe Windows 8.1 și mai mare de funcționare LSASS în modul protejat va face Mimikatz ineficiente.
detectarea prezenței și utilizării Mimikatz într-o rețea de întreprindere nu este nici un panaceu, deoarece soluțiile actuale de detectare automată nu se laudă cu o rată mare de succes. Cea mai bună apărare este probabil o infracțiune bună: Testați-vă propriile sisteme cu Mimikatz în mod regulat și aveți o activitate reală de monitorizare umană în rețeaua dvs.