Sådan stjæler cyber kriminelle dine credentials med Mimikatz

Sådan stjæler cyber kriminelle dine credentials med Mimikatz

 

Tyveri af credentials med Mimikatz


Mimikatz er et open-source værktøj, der er designet til at indsamle og udnytte Windows credentials. Lige siden det blev introduceret af ophavsmanden Benjamin Delpy i 2011, er mængden af angreb, Mimikatz er i stand til at udføre, fortsat med at vokse.

Derudover er de måder, Mimikatz kan pakkes og distribueres på, blevet stadig mere kreative og svære at opdage for sikkerhedseksperter. Det betyder, at Mimikatz på det seneste er blevet forbundet med nogle af de mest udbredte cyber angreb som fx Petya ransomware.

Når først Petya har etableret sig i et miljø, benytter det rekompileret Mimikatz kode til at stjæle credentials og sprede sig horisontalt i hele organisationen.

Det er imidlertid ikke nyt, at Mimikatz benyttes til at indhente brugeroplysninger som et led i malware- og  cyberangreb.

Mimikatz er blevet sammenkædet med Samsam ransomware, Xdata ransomware og WannaCry. Det såkaldte SANS Institute udgav i 2016 en artikel om opdagelse og afbødning af Mimikatz, men det virker ikke helt som om der er nogen, der tager det så alvorligt, som de burde.

Der er faktisk måder, man kan beskytte sig mod tyveri og misbrug af credentials. Det bedste sted at starte er ved at forstå risikoen og hvilke nødvendige trin, man skal tage, for at afbøde den. Denne blog kommer mere i dybden med Mimikatz og ser på, hvordan dette open-source værktøj nemt kan udrulles som en del af et angreb. Vi ser også på de forskellige former for afbødning og på, hvordan de cyber kriminelle hele tiden er et skridt foran de moderne sporingsmekanismer.

 

Hvad er det præcist Mimikatz gør?


Mimikatz er først og fremmest et ”post-exploitation” værktøj, hvilket betyder, at cyber kriminelle, der på anden vis har fundet vej ind i jeres system, ved hjælp af dette værktøj kan udvide deres rækkevidde og i sidste ende opnå fuldstændig kontrol.

Her er nogle af de måder, Mimikatz kan bruges til at gøre netop dette:

 

Tyveri af credentials
 

Mimikatz kan stjæle credentials fra et system på en række forskellige måder. En enkelt måde er at bruge den såkaldte sekurlsa::logonpasswords kommando, der kan udlæse password informationer for alle de brugere og computere, der i det givne øjeblik eller for nyligt er logget på. Hvis en cyber kriminel kan kompromittere en enkelt maskine, kan han bruge den til at få password informationer fra alle de brugere eller computere, der er logget på den maskine. Det er det, der er præmissen for en eskalering af horisontal bevægelse og søgeprivilegier.


Herunder kan du se, at man ved at udføre denne kommando kan indhente NTLM hash’et for ”Jeff’s” konto, som man senere kan bruge til at efterligne kontoen.

 

En anden smart måde at stjæle credentials på med Mimikatz er ved at benytte DCSync, hvor den cyber kriminelle foregiver at være domain controller og beder Active Directory om at replikere dens mest sensitive password informationer.

 

Horisontal bevægelse

At stjæle credentials er det første trin, det næste trin at at bruge dem. Mimikatz indeholder nogle nemme måder at udføre pass-the-hash og pass-the-ticket aktiviteter på, hvor man efterligner de stjålne credentials og bevæger sig horisontalt gennem en organisation. Man kan ved hjælp af sekurlsa::pth kommandoen tage den netop fundne hash og starte en proces på dens vegne.

 

Vedholdenhed
 

Når cyber kriminelle succesfuldt har flyttet sig horisontalt for at kompromittere et domæne, kan de med Mimikatz på flere måder sikre sig, at de bibeholder kontrollen selv efter, at det opdages. Golden Tickets og Silver Tickets indeholder effektive måder at oprette falske Kerberos tickets, der er meget svære at opdage og som giver de cyber kriminelle ubegrænset adgang.

Mimikatz indeholder også andre effektive vedholdenhedsteknikker som fx Skeleton Key, der tilfører en ondsindet SSP og manipulerer andre bruger passwords.

 

Hvordan bruger de cyber kriminelle Mimikatz?


De fleste cyber kriminelle vil formodentlig ikke downloade Mimikatz direkte fra GitHub ned på en inficeret computer og begynde at bruge det. De fleste antivirus værktøjer vil opdage det. Derfor skal man se på, hvordan de kriminelle kan bruge Mimikatz som et våben og hvad, man kan gøre, for at beskytte sig imod sådanne angreb. Her ser man på:

  • Post #1 – Automating Mimikatz with Empire & DeathStar - Læs mere her
  • Post #2 – Lateral Movement with CrackMapExec - Læs mere her
  • Post #3 – Ways to Detect and Mitigate These Attacks - Læs mere her
  • Post #4 – How Attackers Are Bypassing These Protections - Læs mere her

 

Se denne video og tilmeld dig Active Directory Attacks Video Træningsserien her (CPE Credits) HER.

 

Oversat af Draware A/S efter blog artikel af Randi Franklin Smith, UltimateWindowsSecurity.com

Oktober 2017

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE
 

Comments

No comments made yet. Be the first to submit a comment
Already Registered? Login Here
Guest
Thursday, 04 June 2020