Mimikatz definition
Mimikatz är en ledande efter exploatering verktyg som dumpar lösenord från minnet, samt hashes, stift och Kerberos biljetter. Andra användbara attacker det möjliggör är pass-the-hash, pass-the-ticket eller building Golden Kerberos biljetter. Detta gör lateral rörelse efter exploatering inom ett nätverk lätt för angripare.
Mimikatz, beskriven av författaren som bara ”ett litet verktyg för att spela med Windows-säkerhet”, är ett otroligt effektivt offensivt säkerhetsverktyg utvecklat av Benjamin Delpy. Det används av penetration testare och malware författare både. Den destruktiva 2017 NotPetya malware rullade läckt NSA exploits som EternalBlue tillsammans med Mimikatz för att uppnå maximal skada.
ursprungligen tänkt som ett forskningsprojekt av Delpy för att bättre förstå Windows-säkerhet, innehåller Mimikatz också en modul som dumpar minsvepare från minnet och berättar var alla gruvor finns.
Mimikatz är inte svårt att använda, och Mimikatz v1 levereras som en meterpreter skript som en del av Metasploit. Den nya Mimikatz v2 uppgraderingen har ännu inte integrerats i Metasploit när detta skrivs.
namnet ” mimikatz ”kommer från den franska slangen” mimi ”som betyder söt, alltså” söta katter.”(Delpy är franska och han bloggar på Mimikatz på sitt modersmål.)
hur verkar Mimikatz?
Mimikatz utnyttjar Windows single sign-on (SSO) funktionalitet för att skörda referenser. Fram till Windows 10 använde Windows som standard en funktion som heter WDigest som laddar krypterade lösenord i minnet, men laddar också den hemliga nyckeln för att dekryptera dem. WDigest har varit en användbar funktion för att autentisera ett stort antal användare på ett företags-eller regeringsnätverk, men låter också Mimikatz utnyttja den här funktionen genom att dumpa minne och extrahera lösenorden.
under 2013 gjorde Microsoft det möjligt att inaktivera den här funktionen från och med Windows 8.1, och den är som standard inaktiverad i Windows 10. Windows skickas dock fortfarande med WDigest, och en angripare som får administrativa behörigheter kan helt enkelt slå på den och köra Mimikatz.
värre, så många äldre maskiner runt om i världen kör äldre versioner av Windows som Mimikatz är fortfarande en otroligt kraftfull också och kommer sannolikt att förbli så under många år framöver.
historik för Mimikatz
Delpy upptäckte wdigest-felet i Windows-autentisering 2011, men Microsoft borstade honom när han rapporterade sårbarheten. Som svar skapade han Mimikatz-skrivet i C-och lobbed binären på internet, där den snabbt blev populär bland säkerhetsforskare, för att inte tala om oönskad uppmärksamhet från regeringar runt om i världen, vilket resulterade i att källkoden slutligen släpptes på GitHub.
Mimikatz användes nästan omedelbart av nationella angripare, det första kända fallet var 2011-hacket av DigiNotar, den nu nedlagda Nederländska certifikatmyndigheten, som gick i konkurs till följd av intrånget. Angriparna utfärdade falska certifikat för Google och använde dem för att spionera på Gmail-konton för flera hundra tusen iranska användare.
säkerhetsverktyget har sedan dess använts av skadliga författare för att automatisera spridningen av deras maskar, inklusive den ovannämnda NotPetya-attacken och 2017 BadRabbit ransomware-utbrottet. Mimikatz kommer sannolikt att förbli ett effektivt stötande säkerhetsverktyg på Windows-plattformar under många år framöver.
hur man försvarar sig mot Mimikatz
att försvara sig mot en angripares användning av Mimikatz efter exploatering är utmanande. Eftersom en angripare måste ha root-åtkomst på en Windows-ruta för att använda Mimikatz, är det redan game over på vissa sätt. Försvaret blir därför en fråga om att innehålla skadan och begränsa det resulterande blodbadet.
att minska risken för en angripare med administratörsbehörighet från att komma åt referenser i minnet med Mimikatz är dock möjligt och värt besväret. Den stora take-away är att begränsa administratörsbehörighet till endast användare som faktiskt behöver det.
uppgradera till Windows 10 eller 8.1 är åtminstone en start och kommer att mildra risken för att en angripare använder Mimikatz mot dig, men i många fall är detta inte ett alternativ. Härdning av den lokala säkerhetsmyndigheten (LSA) för att förhindra kodinjektion är en annan beprövad strategi för att mildra risken.
att stänga av felsökningsbehörigheter (SeDebugPrivilege) kan också vara av begränsad effektivitet, eftersom Mimikatz använder inbyggda Windows-felsökningsverktyg för att dumpa minnet. Inaktivera WDigest manuellt på äldre, unpatched versioner av Windows kommer att sakta ner en angripare för, Åh, en minut eller två — fortfarande värt att göra, fastän.
en tyvärr vanlig praxis är återanvändning av ett enda administratörslösenord i ett företag. Se till att varje Windows-ruta har sitt eget unika administratörslösenord. Slutligen, på Windows 8.1 och högre kör LSASS i skyddat läge gör Mimikatz ineffektivt.
att upptäcka närvaron och användningen av Mimikatz i ett företagsnätverk är inte heller ett universalmedel, eftersom nuvarande automatiserade detekteringslösningar inte har en hög framgångsgrad. Det bästa försvaret är sannolikt ett bra brott: testa dina egna system med Mimikatz regelbundet och ha en verklig mänsklig övervakningsaktivitet i ditt nätverk.