Mimikatz - мощный инструмент для атаки или защиты систем Windows. Вот что вам нужно знать, чтобы быстро освоиться.
Определение Mimikatz
Mimikatz - это ведущий инструмент после эксплуатации, который выгружает пароли из памяти, а также хэши, PIN-коды и билеты Kerberos. Другие полезные атаки, которые он обеспечивает, - это передача хэша, передача билета или создание билетов Golden Kerberos. Это упрощает для злоумышленников боковое перемещение в сети после эксплуатации.
Mimikatz, описанный автор как только «немного инструмента, чтобы играть с безопасностью Windows» является невероятно эффективным инструментом Наступления безопасности, разработанный Бенджамин Дельпи. Он используется тестеры проникновения и авторы вредоносных программ, так. Разрушительные 2017 NotPetya вредоносного проката просочился NSA такие подвиги, как EternalBlue вместе с Mimikatz, для достижения максимального урона.
Первоначально задуманный как исследовательский проект Delpy для лучшего понимания безопасности Windows, Mimikatz также включает модуль, который выгружает Minesweeper из памяти и сообщает вам, где расположены все мины.
Mimikatz не сложно использовать, и Mimikatz v1 поставляется в виде сценария meterpreter как часть Metasploit. На момент написания этой статьи новое обновление Mimikatz v2 еще не было интегрировано в Metasploit.
Название «mimikatz» происходит от французского сленга «mimi», что означает «милые», то есть «милые кошки». (Дельпи француз и ведет блог о Mimikatz на своем родном языке.)
Как работает Mimikatz?
Mimikatz использует функцию единого входа Windows (SSO) для сбора учетных данных. До Windows 10 Windows по умолчанию использовала функцию WDigest, которая загружает зашифрованные пароли в память, но также загружает секретный ключ для их расшифровки. WDigest был полезной функцией для аутентификации большого количества пользователей в корпоративной или правительственной сети, но также позволяет Mimikatz использовать эту функцию, выгружая память и извлекая пароли.
В 2013 году Microsoft позволила отключить эту функцию в Windows 8.1, и она отключена по умолчанию в Windows 10. Однако Windows по-прежнему поставляется с WDigest, и злоумышленник, получивший административные привилегии, может просто включить ее и запустить Mimikatz.
Хуже того, так много устаревших компьютеров по всему миру работают под управлением более старых версий Windows, что Mimikatz по-прежнему остается невероятно мощным и, вероятно, останется таковым еще много лет.
История Mimikatz
Дельпи обнаружил недостаток WDigest в аутентификации Windows в 2011 году, но Microsoft отмахнулась от него, когда он сообщил об уязвимости. В ответ он создал Mimikatz, написанный на C, и разместил двоичный файл в Интернете, где он быстро завоевал популярность среди исследователей безопасности, не говоря уже о нежелательном внимании со стороны правительств по всему миру, что в конечном итоге привело к выпуску исходного кода на GitHub.
Mimikatz почти сразу же был использован злоумышленниками из национальных государств. Первым известным случаем стал взлом в 2011 году DigiNotar, ныне несуществующего голландского центра сертификации, который обанкротился в результате вторжения. Злоумышленники выдали Google поддельные сертификаты и использовали их для слежки за учетными записями Gmail нескольких сотен тысяч иранских пользователей.
С тех пор этот инструмент безопасности использовался авторами вредоносных программ для автоматизации распространения своих червей, включая вышеупомянутую атаку NotPetya и эпидемию вымогателей BadRabbit в 2017 году. Mimikatz, вероятно, останется эффективным средством защиты от атак на платформах Windows еще долгие годы.
Как защититься от мимикаца
Защита от использования атакующим Mimikatz после эксплуатации является сложной задачей. Поскольку злоумышленник должен иметь root-доступ к Windows, чтобы использовать Mimikatz, в некотором смысле игра уже окончена. Таким образом, защита сводится к сдерживанию ущерба и ограничению резни.
Однако снижение риска злоумышленника с правами администратора для доступа к учетным данным в памяти с помощью Mimikatz возможно и стоит усилий. Важный вывод - ограничить права администратора только теми пользователями, которым это действительно нужно.
Обновление до Windows 10 или 8.1, по крайней мере, является началом и снизит риск того, что злоумышленник использует Mimikatz против вас, но во многих случаях это не вариант. Укрепление локальной службы безопасности (LSA) для предотвращения внедрения кода - еще одна проверенная стратегия снижения риска.
Отключение привилегий отладки (SeDebugPrivilege) также может иметь ограниченную эффективность, поскольку Mimikatz использует встроенные средства отладки Windows для дампа памяти. Отключение WDigest вручную в старых, непатентованных версиях Windows замедлит злоумышленника, ох, минуту или две - тем не менее, это стоит сделать.
К сожалению, распространенной практикой является повторное использование одного административного пароля на предприятии. Убедитесь, что у каждого окна Windows есть собственный уникальный пароль администратора. Наконец, в Windows 8.1 и выше запуск LSASS в защищенном режиме сделает Mimikatz неэффективным.
Обнаружение присутствия и использования Mimikatz в корпоративной сети также не является панацеей, поскольку современные решения для автоматического обнаружения не могут похвастаться высокой степенью успеха. Лучшая защита - это, вероятно, хорошее нападение: регулярно тестируйте свои собственные системы с помощью Mimikatz и наблюдайте за активностью человека в вашей сети.
Определение Mimikatz
Mimikatz - это ведущий инструмент после эксплуатации, который выгружает пароли из памяти, а также хэши, PIN-коды и билеты Kerberos. Другие полезные атаки, которые он обеспечивает, - это передача хэша, передача билета или создание билетов Golden Kerberos. Это упрощает для злоумышленников боковое перемещение в сети после эксплуатации.
Mimikatz, описанный автор как только «немного инструмента, чтобы играть с безопасностью Windows» является невероятно эффективным инструментом Наступления безопасности, разработанный Бенджамин Дельпи. Он используется тестеры проникновения и авторы вредоносных программ, так. Разрушительные 2017 NotPetya вредоносного проката просочился NSA такие подвиги, как EternalBlue вместе с Mimikatz, для достижения максимального урона.
Первоначально задуманный как исследовательский проект Delpy для лучшего понимания безопасности Windows, Mimikatz также включает модуль, который выгружает Minesweeper из памяти и сообщает вам, где расположены все мины.
Mimikatz не сложно использовать, и Mimikatz v1 поставляется в виде сценария meterpreter как часть Metasploit. На момент написания этой статьи новое обновление Mimikatz v2 еще не было интегрировано в Metasploit.
Название «mimikatz» происходит от французского сленга «mimi», что означает «милые», то есть «милые кошки». (Дельпи француз и ведет блог о Mimikatz на своем родном языке.)
Как работает Mimikatz?
Mimikatz использует функцию единого входа Windows (SSO) для сбора учетных данных. До Windows 10 Windows по умолчанию использовала функцию WDigest, которая загружает зашифрованные пароли в память, но также загружает секретный ключ для их расшифровки. WDigest был полезной функцией для аутентификации большого количества пользователей в корпоративной или правительственной сети, но также позволяет Mimikatz использовать эту функцию, выгружая память и извлекая пароли.
В 2013 году Microsoft позволила отключить эту функцию в Windows 8.1, и она отключена по умолчанию в Windows 10. Однако Windows по-прежнему поставляется с WDigest, и злоумышленник, получивший административные привилегии, может просто включить ее и запустить Mimikatz.
Хуже того, так много устаревших компьютеров по всему миру работают под управлением более старых версий Windows, что Mimikatz по-прежнему остается невероятно мощным и, вероятно, останется таковым еще много лет.
История Mimikatz
Дельпи обнаружил недостаток WDigest в аутентификации Windows в 2011 году, но Microsoft отмахнулась от него, когда он сообщил об уязвимости. В ответ он создал Mimikatz, написанный на C, и разместил двоичный файл в Интернете, где он быстро завоевал популярность среди исследователей безопасности, не говоря уже о нежелательном внимании со стороны правительств по всему миру, что в конечном итоге привело к выпуску исходного кода на GitHub.
Mimikatz почти сразу же был использован злоумышленниками из национальных государств. Первым известным случаем стал взлом в 2011 году DigiNotar, ныне несуществующего голландского центра сертификации, который обанкротился в результате вторжения. Злоумышленники выдали Google поддельные сертификаты и использовали их для слежки за учетными записями Gmail нескольких сотен тысяч иранских пользователей.
С тех пор этот инструмент безопасности использовался авторами вредоносных программ для автоматизации распространения своих червей, включая вышеупомянутую атаку NotPetya и эпидемию вымогателей BadRabbit в 2017 году. Mimikatz, вероятно, останется эффективным средством защиты от атак на платформах Windows еще долгие годы.
Как защититься от мимикаца
Защита от использования атакующим Mimikatz после эксплуатации является сложной задачей. Поскольку злоумышленник должен иметь root-доступ к Windows, чтобы использовать Mimikatz, в некотором смысле игра уже окончена. Таким образом, защита сводится к сдерживанию ущерба и ограничению резни.
Однако снижение риска злоумышленника с правами администратора для доступа к учетным данным в памяти с помощью Mimikatz возможно и стоит усилий. Важный вывод - ограничить права администратора только теми пользователями, которым это действительно нужно.
Обновление до Windows 10 или 8.1, по крайней мере, является началом и снизит риск того, что злоумышленник использует Mimikatz против вас, но во многих случаях это не вариант. Укрепление локальной службы безопасности (LSA) для предотвращения внедрения кода - еще одна проверенная стратегия снижения риска.
Отключение привилегий отладки (SeDebugPrivilege) также может иметь ограниченную эффективность, поскольку Mimikatz использует встроенные средства отладки Windows для дампа памяти. Отключение WDigest вручную в старых, непатентованных версиях Windows замедлит злоумышленника, ох, минуту или две - тем не менее, это стоит сделать.
К сожалению, распространенной практикой является повторное использование одного административного пароля на предприятии. Убедитесь, что у каждого окна Windows есть собственный уникальный пароль администратора. Наконец, в Windows 8.1 и выше запуск LSASS в защищенном режиме сделает Mimikatz неэффективным.
Обнаружение присутствия и использования Mimikatz в корпоративной сети также не является панацеей, поскольку современные решения для автоматического обнаружения не могут похвастаться высокой степенью успеха. Лучшая защита - это, вероятно, хорошее нападение: регулярно тестируйте свои собственные системы с помощью Mimikatz и наблюдайте за активностью человека в вашей сети.
