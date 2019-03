Een van de populairste post-exploitation tools die wachtwoorden uit het geheugen plukt, hashes, pincodes en Kerberos-tickets is Mimikatz. Andere nuttige aanvallen die ermee worden uitgevoerd zijn pass-the-hash, pass-the-ticket of om Golden Kerberos-tickets te maken. Kortom, de tool wordt gebruikt om lateraal in een netwerk te bewegen via een veroverde pc.

De maker beschrijft Mimikatz als "een kleine tool om met Windows-beveiliging te spelen". De software van Franse ontwikkelaar Benjamin Delpy wordt gebruikt door zowel beveiligers, pentesters en malwaremakers. De NotPetya-malware van 2017 had NSA-exploits als EternalBlue toegevoegd aan de ransowmare met behulp van Mimikatz.

Het is oorspronkelijk ontwikkeld als een onderzoeksproject van Deply om de beveiliging van Windows beter te begrijpen. Mimikatz heeft bijvoorbeeld ook een testmodule die de content van Mijnenveger uit het werkgeheugen haalt en weergeeft waar alle mijnen liggen. De naam komt van het Franse straattaalwoord 'mimi' wat schattig betekent. Schattige katjes dus. Deply blogt hier (in het Frans) over zijn beveiligingswerk.

Hoe werkt Mimikatz?

Mimikatz gebruikte de single sign-on-functionaliteit van Windows om credentials te roven. Tot Windows 10 gebruikte Microsoft daarvoor een feature genaamd WDigest om versleutelde wachtwoorden in het geheugen te laden, maar ook de encryptiesleutel om ze te ontsleutelen wordt meegeladen. WDigest is een handige feature gebleken om een groot aantal werksatations in een zakelijk netwerk te beheren, maar is ook een zwakke plek waar Mimikatz gebruik van maakt om een geheugendump te maken.

In 2013 introduceerde Microsoft een optie om deze feature uit te schakelen vanaf Windows 8.1 en in Windows 10 is het nu default uitgeschakeld. Maar Windows bevat WDigest nog steeds en een aanvaller die admintoegang verkrijgt tot een systeem kan Mimikatz draaien om verder in te breken in een netwerk. Erger nog is dat er nog een heleboel legacy is met Windows-systemen die ouder zijn en waardoor Mimikatz nog jarenlang een geduchte tool blijft om rekening mee te houden.

Geschiedenis van de tool

Delpy ontdekte de kwetsbaarheid van WDigest om authenticatie te breken in 2011, maar toen hij de kwetsbaarheid meldde bij Microsoft, werd hij afgepoeierd. Als reactie bouwde hij een tool in C en stelde de binary beschikbaar, waar het snel populair werd onder beveiligingsonderzoekers die een penetratietest wilden uitvoeren. Ook kreeg de tool ongewenste aandacht van diverse overheden, wat leidde tot het vrijgeven van de broncode op GitHub.

Staatshackers stortten zich vrijwel direct op de tool die erg bekend werd met de aanval op het Nederlandse Diginotar. Mocht je op de een of andere manier die saga hebben gemist: de certificaatautoriteit werd keihard te grazen genomen, probeerde dat onder de pet te houden en ging daarna failliet. De aanvallers gebruikten de buit om nepcertificaten voor Google te maken, zodat die werden vertrouwd om vervolgens de Gmail-accounts van honderdduizenden Iraniërs te kunnen bespioneren.

De beveiligingstool is sedertdien gebruikt door malwaremakers om de infectie van hun wormen te automatiseren, onder meer met NotPetya en het minder succesvolle - omdat we de lessen hadden geleerd - BadRabbit enkele maanden later. De software zal nog jarenlang een effectieve pentesttool blijven voor Windows-pc's.

Hoe te beveiligen tegen Mimikatz?

Beveiligen tegen een aanvaller die een post-exploitation tool gebruikt om dieper door te dringen in een netwerk is lastig. Een aanvaller heeft al roottoegang tot een Windows-machine als hij of zij Mimikatz wil gebruiken, dus eigenlijk is het al game-over op bepaalde vlakken. Het spel wordt er dan in plaats van een verdediging tegen een aanval eentje om de schade van de aanvallers als ze binnen de muren zijn te beperken.

Het verkleinen van de aanvalsrisco's door adminrechten te beperken is mogelijk en de moeite van het werk waard. De belangrijkste tip hiervoor het het beperken van hoge rechten tot gebruikers die dat echt nodig hebben en alleen op de momenten dát ze het nodig hebben. Lees hier een uitgebreidere gids van beveiliger en IDG-collega Roger Grimes over het beperken van adminrechten.

Upgraden naar Windows 10 of tenminste 8.1 is ook een goed begin om te voorkomen of een aanvaller Mimikatz tegen je kan gebruiken, maar in veel zakelijke scenario's is dat geen optie totdat je een migratietraject doorloopt. Een andere strategie om de schade te beperken is het verstevigen van Local Security Authority (LSA) om codeinjectie te voorkomen.

Het uitschakelen van debugrechten ( SeDebugPrivilege ) kan ook de effectiviteit van dergelijke aanvalstools voorkomen, omdat Mimikatz de ingebouwde debugtools gebruikt om het geheugen te dumpen. Het handmatig uitschakelen van WDigest in oudere ongepatchte Windows-pc's vertraagt de aanvaller voor, laten we zeggen, een minuut of twee - maar een drempelverhoging is altijd de moeite waard.

Helaas komt het nog steeds vaak voor dat adminwachtwoorden op verschillende plekken in organisaties worden hergebruikt. Dat is makkelijk voor systeembeheerders, maar ook makkelijk voor aanvallers. Zorg daarom dat elke Windows-machine een uniek adminwachtwoord heeft. Ook zorgt het draaien van LSASS in beveiligde modus in Windows 8.1 en hoger dat een Mimikatz-aanval ineffectief is.

Het detecteren en gebruik van Mimikatz op een zakelijk netwerk is ook al geen totaaloplossing, aangezien de huidige automatische detectieoplossingen geen hoge succesgraad hebben. De beste verdediging is dan ook de aanval: test de eigen systemen regelmatig met Mimikatz en combineer dat met een menselijke netwerkmonitor die het verkeer bekijkt.