Mimikatz

Mimikatz - это приложение с открытым исходным кодом, которое позволяет пользователям просматривать и сохранять учетные данные аутентификации, например билеты Kerberos.

Что такое Mimikatz?

Mimikatz - это приложение с открытым исходным кодом, которое позволяет пользователям просматривать и сохранять учетные данные аутентификации, такие как билеты Kerberos. Инструментарий работает с текущей версией Windows и включает в себя коллекцию различных сетевых атак, помогающих оценить уязвимости.

Бенджамин Делпи первоначально создал Mimikatz как доказательство концепции, чтобы показать Microsoft, что ее протоколы аутентификации уязвимы для атаки. Вместо этого он случайно создал один из самых распространенных и загружаемых инструментов злоумышленников за последние 20 лет.

Wired.com назвал Mimikatz «одним из самых мощных похитителей паролей в мире». Любой ИТ-специалист, занимающийся защитой сетей Windows, должен внимательно следить за последними разработками Mimikatz, чтобы понять, как хакеры будут использовать этот инструмент для проникновения в сети.

Атакующие обычно используют Mimikatz для кражи учетных данных и повышения привилегий, поскольку в большинстве случаев программное обеспечение для защиты конечных точек и антивирусные системы не обнаруживают и не удаляют атаку. И наоборот, пен-тестеры используют Mimikatz для обнаружения и эксплуатации уязвимостей в ваших сетях, чтобы вы могли их устранить.

Что может делать Mimikatz?

Изначально Mimikatz демонстрировал, как использовать одну уязвимость в системе аутентификации Windows. Теперь он раскрывает несколько различных видов уязвимостей; Mimikatz может выполнять такие техники сбора учетных данных, как:

  • Pass-the-hash: Windows хранит данные пароля в хэше NTLM. Атакующие используют Mimikatz, чтобы передать целевому компьютеру именно эту хэш-строку для входа в систему. Атакующим даже не нужно взламывать пароль - им достаточно использовать хэш-строку как есть. Это эквивалентно тому, как если бы вы нашли главный ключ от здания на этаже в холле. Вам нужен всего один ключ, чтобы попасть во все двери.
  • Pass-the-ticket: В новых версиях Windows данные пароля хранятся в конструкции, называемой билетом. Mimikatz предоставляет функциональность, позволяющую пользователю передать билет Kerberos другому компьютеру и войти в систему с билетом этого пользователя. Это очень похоже на метод pass-the-hash.
  • Overpass-the-hash (pass-the-key): Еще одна разновидность pass-the-hash, но в этой технике для выдачи себя за пользователя передается уникальный ключ, полученный от контроллера домена.
  • Золотые билеты Kerberoast: Это атака по принципу «передай билет», но в ней используется особый билет для скрытой учетной записи под названием KRBTGT, которая шифрует все остальные билеты. Золотой билет дает вам непросроченные полномочия администратора домена на любом компьютере в сети.
  • Серебряные билеты Kerberoast: Еще один вариант передачи билета, но серебряный билет использует преимущества функции в Windows, которая упрощает использование служб в сети. Kerberos выдает пользователю билет сервера выдачи билетов (TGS), и пользователь может использовать этот билет для проверки подлинности учетных записей служб в сети. Microsoft не всегда проверяет TGS после его выдачи, поэтому его легко проскользнуть мимо любых средств защиты.
  • Pass-the-cache: Наконец-то атака, которая не использует возможности Windows! Атака с передачей кэша в целом аналогична атаке с передачей билета, но в данном случае используются сохраненные и зашифрованные данные для входа в систему Mac/UNIX/Linux.

Где можно скачать Mimikatz?

Загрузите двоичные файлы и исходный код Mimikatz с GitHub Бенджамина Дельпи. Он предлагает несколько вариантов загрузки - от исполняемого файла до исходного кода. Вам потребуется скомпилировать его с помощью Microsoft Visual Studio 2010 или более поздней версии.

Как защититься от Mimikatz?

Защита от Mimikatz может быть сложной, поскольку для выполнения атаки злоумышленник уже получил root-доступ на компьютере с Windows. Зачастую вы можете только сдерживать уже нанесенный атакующим ущерб. Ниже приведены несколько способов защиты от атак Mimikatz.

  • Ограничьте привилегии администратора. Это можно сделать, ограничив привилегии администратора только теми пользователями, которым они необходимы.
  • Отключите кэширование паролей. Windows кэширует хэши паролей, которые недавно использовались, в системном реестре. Mimikatz может получить доступ к этим кэшированным паролям, поэтому важно изменить настройки по умолчанию, чтобы кэшировать только последние пароли. Это можно сделать в разделе «Параметры Windows» > «Локальная политика» > «Параметры безопасности» > «Интерактивный вход».
  • Отключите привилегии отладки. Стандартные настройки Windows позволяют локальным администраторам отлаживать систему, чем может воспользоваться Mimikatz. Отключение привилегий отладки на машинах - лучшая практика для защиты вашей системы.
  • Настройте дополнительную защиту локального центра безопасности (LSA). Обновление до Windows 10 может помочь смягчить типы атак аутентификации, которые использует Mimikatz. Однако если это невозможно, Microsoft предлагает дополнительные элементы конфигурации LSA, которые помогают уменьшить площадь атаки.