Šta je Mimikatz? I kako se braniti od ovog alata za krađu lozinki

Mimikatz je moćna alatka kada se Windows sistem napada ili brani. Evo šta treba da znate da biste bili dobro informisani. Mimikatz – definicija: Mimikatz je vodeći alat za post-eksploataciju koji kopira lozinke iz memorije, a takođe i iz heševa, PIN-ova i Kerberos kupona. Drugi korisni napadi koje on omogućava su pass-the-hash, pass-the-ticket ili pravljenje Golden Kerberos kupona. To napadačima olakšava post-eksploataciono bočno kretanje unutar mreže. Mimikatz, koji autor opisuje kao samo „mali alat za igranje sa bezbednošću Windowsa,“ je neverovatno efikasan ofanzivan alat za bezbednost koji je razvio Benjamin Delpy. Koriste ga kako ispitivači prodora tako i autori zlonamernog softvera. Destruktivan zlonamerni softver NotPetya iz 2017. godine kombinovao je EternalBlue zajedno sa Mimikatzom kako bi postigao maksimalnu štetu.

Delpy ga je prvobitno zamislio kao istraživački projekat za bolje razumevanje bezbednosti Windowsa. Mimikatz takođe sadrži modul koji kopira Minesweeper iz memorije i ukazuje vam na to gde se nalaze mine. Mimikatz nije teško koristiti, a Mimikatz v1 se isporučuje kao meterpreter skript u sklopu Metasploita. Trenutno, nova nadogradnja Mimikatz v2 još nije integrisana u Metasploit. Naziv „mimikatz“ potiče od francuskog slenga „mimi“ što znači slatko, dakle „slatke mačke“. (Delpy je Francuz i on bloguje o Mimikatzu na svom maternjem jeziku.)

Kako funkcioniše Mimikatz?

Mimikatz za uzimanje akreditiva koristi Windowsovu funkcionalnost jednostruke prijave (SSO). Do Windowsa 10, Windows je podrazumevano koristio funkciju WDigest koja učitava šifrovane lozinke u memoriju, ali učitava i tajni ključ za njihovo dešifrovanje. WDigest je bila korisna funkcija za autentikaciju velikog broja korisnika u mreži preduzeća ili vlade, ali takođe omogućava da Mimikatz iskoristi ovu funkciju tako što kopira memoriju i izvlači lozinke. U 2013, Microsoft je omogućio da se počevši od operativnog sistema Windows 8.1 ova funkcija onemogući, a u operativnom sistemu Windows 10 je podrazumevano onemogućena. Međutim, Windows se i dalje isporučuje sa WDigestom, pa napadač koji stekne administrativne privilegije može jednostavno da ga uključi i pokrene Mimikatz. Što je još gore, toliko starih mašina širom sveta pokreću starije verzije Windowsa da je Mimikatz i dalje neverovatno moćan i verovatno će tako ostati još godinama.

Istorija Mimikatza

Delpy je WDigestov nedostatak u Windows autentifikaciji otkrio 2011. godine, ali Microsoft nije hteo da sluša kada im je prijavio tu ranjivost. Kao odgovor, on je stvorio Mimikatz – napisan u jeziku C – i ponudio izvršni kôd na internetu, gde je ubrzo stekao popularnost među istraživačima bezbednosti, da ne pominjemo neželjenu pažnju širom sveta, što je na kraju rezultiralo izdavanjem izvornog koda na GitHubu. Mimikatz su skoro odmah počeli da koriste napadači na državne institucije, prvi poznati slučaj je bio hekiranje DigiNotara, sada pokojnog holandskog sertifikacionog tela, koje je bankrotiralo zbog tog upada. Napadači su izdavali lažne certifikate za Google i koristili ih za špijuniranje Gmail naloga nekoliko stotina hiljada iranskih korisnika.

Ovaj alat za bezbednost su nakon toga koristili autori zlonamernog softvera da bi automatizovali širenje svojih crva, uključujući gore pomenuti napad NotPetya i 2017. napad softverom za iznudu otkupa BadRabbit. Mimikatz će verovatno ostati efikasan ofanzivni bezbednosni alat na Windows platformama još mnogo godina.

Kako se braniti od Mimikatza

Nije lako odbraniti se od napadača koji koriste post-eksploataciju Mimikatz. Pošto napadač mora da ima koreni pristup na Windows-u da bi koristio Mimikatz, sve je već na neki način završeno. Odbrana se zato svodi na ograničavanje štete i uništavanja. Međutim, smanjenje rizika od napadača sa administratorskim privilegijama za pristup akreditivima u memoriji koristeći Mimikatz je moguće i vredi truda. Mnogo vredi ograničiti administratorske privilegije samo na korisnike kojima je to zaista potrebno. Nadogradnja na Windows 10 ili 8.1 je barem početak i ublažava rizik od napadača koji koristi Mimikatz protiv vas, ali u mnogim slučajevima to nije moguće. Još jedna dokazana strategija za ublažavanje rizika je jačanje lokalne bezbednosne službe (LSA – Local Security Authority) kako bi se sprečilo injektovanje koda.

Isključivanje privilegija za ispravljanje grešaka (SeDebugPrivilege) takođe može donekle da pomogne, pošto Mimikatz za kopiranje memorije koristi ugrađene Windows alatke za otklanjanje grešaka. Ručno onemogućavanje WDigest-a na starijim, nekrpljenim verzijama Windows-a može da uspori napadača za, oh, minut ili dva – ali, ipak se isplati. Nažalost, uobičajena praksa je višestruko korišćenje jedne iste administrativne lozinke u celom preduzeću. Obezbedite da svaki Windows ima svoju jedinstvenu administratorsku lozinku. Konačno, ako na Windowsu 8.1 i novijim koristite LSASS u zaštićenom režimu, Mimikatz će biti onemogućen. Ni otkrivanje da se Mimikatz nalazi i koristi u mreži preduzeća nije lek za sve, jer sadašnja automatizovana rešenja za detekciju nemaju visoku stopu uspešnosti. Najbolja odbrana je verovatno dobar napad: redovno testirajte svoje sisteme sa Mimikatz-om i držite stvarno aktivno živo nadgledanje na vašoj mreži.

Izvor: CSO

5256-xa-sta-je-mimikatz-i-kako-se-braniti-od-ovog-alata-za-kradu-lozinki-xa