onsdag, juli 30
Cybercrime

Mimikatz Windows lösenord – Så fungerar det populära säkerhetsverktyget

By Updated:Inga kommentarer5 Mins Read

Mimikatz är ett kraftfullt säkerhetsverktyg som utvecklats av Benjamin Delpy (även känd som ”gentilkiwi”) för att demonstrera sårbarheter i Windows-autentisering. Verktyget kan extrahera lösenord, hashvärden, PIN-koder och Kerberos-biljetter direkt från ett systems minne, vilket gör det till både ett värdefullt penetrationstestningsverktyg och ett potentiellt farligt verktyg i fel händer.

Även om Mimikatz ursprungligen utvecklades som ett ”proof of concept” för att visa Microsoft att dess autentiseringsprotokoll var sårbara, har det oavsiktligt blivit ett av de mest använda verktyg av cyberangripare under de senaste 20 åren. Verktyget beskrivs som ”en av världens mest kraftfulla
lösenordsstjälare” av Wired.com.

Ladda ner programvaran från: https://sourceforge.net/projects/mimikatz.mirror/

Vad är Mimikatz?

Mimikatz är ett öppen källkodsverktyg som ursprungligen skapades 2007 av Benjamin Delpy som ett sätt att lära sig programmering i C och experimentera med Windows-säkerhet. Namnet ”Mimikatz” kommer från fransk slang för ”söta katter”.

Delpy upptäckte en brist i Microsoft Windows som håller både en krypterad kopia av ett lösenord och en nyckel som kan användas för att dekryptera det i minnet samtidigt. När han kontaktade Microsoft 2011 för att påpeka detta problem, svarade Microsoft att det skulle kräva att maskinen redan var komprometterad. Delpy insåg att denna brist kunde användas för att få tillgång till icke-komprometterade maskiner på ett nätverk från en komprometterad maskin.

Hur Mimikatz fungerar

Mimikatz hämtar känslig inloggningsinformation som är lagrad i Windows Local Security Authority Subsystem Service (LSASS). Verktyget utnyttjar Windows-autentiseringsprotokoll för att komma åt och dekryptera lagrade inloggningsuppgifter i klartext, även om de vanligtvis är hashade eller krypterade.

Huvudfunktioner

Mimikatz har flera viktiga funktioner som gör det värdefullt för säkerhetsproffs:

  1. Credential Dumping: Mimikatz kan komma åt lagrade inloggningsuppgifter, inklusive lösenord i klartext, hasher och Kerberos-biljetter, direkt från Windows-minnet
  2. Pass-the-Hash (PtH): Denna funktion tillåter användare att autentisera sig med hjälp av hashade inloggningsuppgifter istället för lösenord i klartext
  3. Pass-the-Ticket (PtT): Mimikatz kan hämta Kerberos-biljetter för att autentisera användare
  4. Golden Ticket Attack: Verktyget kan bygga Golden Tickets som ger omfattande åtkomst till domäner
  5. DC Sync: Mimikatz kan efterlikna en Domain Controller för att hämta inloggningsuppgifter från andra maskiner i nätverket

Aktuell status och utveckling

Mimikatz fortsätter att underhållas av Delpy, och nya versioner utvecklas ständigt för att hålla jämna steg med uppdateringar av Windows-operativsystem. Du kan ladda ner de senaste versionerna från Benjamin Delpys officiella GitHub-repository: https://github.com/gentilkiwi/mimikatz/releases

Det finns många forks och implementationer av Mimikatz, varav vissa är paketerade i populära skadliga verktyg, inklusive NotPetya och BadRabbit. Minst 20 avancerade persistenta hotgrupper har identifierats som använder Mimikatz som en del av sin arsenal.

Användning och moduler

Mimikatz består av 17 moduler som tillhandahåller specifik funktionalitet för post-exploitation aktiviteter. De mest observerade modulerna inkluderar:

  • sekurlsa: Används för att extrahera lösenord, nycklar, PIN-koder, hasher och biljetter från minnet av Local Security Authority Subsystem Service (LSASS)
  • lsadump: Används för att dumpa Windows Security Account Manager (SAM) databas och Local Security Authority (LSA)
  • kerberos: Används för att interagera med Kerberos-autentiseringsprotokoll genom API-anrop eller utföra Kerberos-attacker

Modulen sekurlsa::logonpasswords var den mest använda under 2024, vilket ger extraktion av användarnamn och lösenord för användarkonton som nyligen har varit aktiva på slutpunkten.

Säkerhetsutmaningar och detektering

Mimikatz är ett gammalt verktyg som används flitigt av penetrationstestare, red team-medlemmar och verkliga hackare. Som sådan har sofistikerade detektioner och begränsningar byggts in i säkerhetsverktyg och till och med Windows-operativsystemet.

Om du bara laddar ner och kör Mimikatz på en maskin som kör Windows 10+ kommer du inte att lyckas; Microsoft Defender kommer att blockera det. Mimikatz är ett kraftfullt post-exploitation verktyg som sannolikt kommer att flaggas av de flesta antivirus (AV) och endpoint detection and response (EDR) lösningar.

Skydd mot Mimikatz-attacker

Förebyggande åtgärder

På grund av dess kraftfulla funktioner är Mimikatz ofta ett av de första verktygen som blockeras av antivirusprogram och andra säkerhetslösningar. Här är några viktiga skyddsåtgärder:

  1. Inaktivera WDigest: WDigest lagrar dina lösenord, vilket gör det till en exploaterbar funktion. Att inaktivera detta autentiseringsprotokoll kan minska risken för Mimikatz-attacker
  2. Konfigurera LSA-skydd: Verktyg som Windows Defender Credential Guard och LSA-härdning kan förhindra Mimikatz från att komma åt LSASS-minnet
  3. Inaktivera lösenordscaching: Windows cachar lösenordshasher som nyligen använts genom sitt systemregister. Mimikatz kan då få tillgång till dessa cachade lösenord
  4. Stäng av debuggerprivilegier: Windows standardinställningar tillåter lokala administratörer att debugga systemet, vilket Mimikatz kan utnyttja
  5. Övervaka systemloggar: Övervakning av systemloggar för misstänkt aktivitet, såsom misslyckade inloggningsförsök och ovanligt beteende från auktoriserade användare, kan hjälpa till att förhindra Mimikatz-attacker

Detektering

För att identifiera körning av Mimikatz, leta efter processer där modulnamn observeras som kommandoradsparametrar. Kerberos-biljettfiler (.kirbi) är av intresse för angripare då de kan innehålla känslig data såsom NTLM-hasher som kan knäckas offline.

Etiska och legala aspekter

Detta är en personlig utveckling, respektera dess filosofi och använd den inte för dåliga saker, som Benjamin Delpy själv uttrycker det. Mimikatz är idealisk för säkerhetsproffs, särskilt penetrationstestare, etiska hackare och IT-administratörer som fokuserar på säkerhetshärdning och sårbarhetsassessment.

Det är viktigt att notera att användning av Mimikatz på nätverk eller system utan tillstånd kan vara olagligt och betraktas som en säkerhetsintrång. Majoriteten av detekterad aktivitet är resultatet av någon form av testning – inklusive adversary simulation frameworks eller red teams som kör tester.

Sammanfattning

Mimikatz fortsätter att vara ett av de mest kraftfulla och använda verktygen inom cybersäkerhet. Förståelse för Mimikatz är avgörande för organisationer att skydda sina system mot lösenordsstöld. Medan verktyget ursprungligen skapades för att demonstrera säkerhetsbrister, har det utvecklats till ett väsentligt verktyg för både legitimate säkerhetstester och skadlig aktivitet.

För att skydda mot Mimikatz-baserade attacker krävs en kombination av tekniska skyddsåtgärder, kontinuerlig övervakning och en djup förståelse för hur verktyget fungerar. Alla IT-professionella som har i uppgift att skydda Windows-nätverk behöver vara uppmärksamma på de senaste Mimikatz-utvecklingarna för att förstå hur hackare kommer att manipulera verktyget för att infiltrera nätverk.

Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply Cancel Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.

Exit mobile version