Mimikatz ist ein mächtiges Tool, um Windows-Systeme anzugreifen oder sogar zu verteidigen. Hier erfahren Sie, was Sie wissen müssen, um auf den neuesten Stand zu kommen. [...]
Mimikatz ist ein führendes Post-Exploitation-Tool, das Passwörter sowie Hashes, PINs und Kerberos-Tickets aus einem Speicher laden kann. Andere nützliche Angriffe, die es ermöglicht, wären beispielsweise Pass-the-Hash, Pass-The-Ticket oder das Erstellen von Golden Kerberos-Tickets. Diese erleichtern den Angreifern eine laterale Post-Exploitation-Bewegung innerhalb des betroffenen Netzwerks.
Mimikatz, das vom Autor liebevoll als „ein kleines Tool zum Spielen mit der Windows-Sicherheit“ bezeichnet wird, ist ein unglaublich effektives, offensives Sicherheitstool, das ursprünglich von Benjamin Delpy entwickelt wurde und von Penetration-Testern und Malware-Autoren gleichermaßen verwendet wird. Die zerstörerische NotPetya-Malware von 2017 löste NSA-Exploits wie EternalBlue gemeinsam mit Mimikatz aus, um so maximalen Schaden zu erzielen.
Ursprünglich von Delpy als Forschungsprojekt konzipiert, um ein besseres Verständnis für die Windows-Sicherheit zu generieren, enthält Mimikatz auch ein Modul, das Minesweeper aus dem Datenspeicher lädt und die Lokalisierung dieser Minen anschließend offenlegt.
Mimikatz ist nicht schwer zu bedienen, und Mimikatz v1 wird sogar – als Meterpreter-Skript zusammengefasst – als Teil von Metasploit mitgeliefert. Das neue Upgrade von Mimikatz v2 wurde dagegen zum Zeitpunkt dieser Veröffentlichung noch nicht in Metasploit integriert.
Der Name „Mimikatz“ kommt übrigens vom französischen Slangwort „Mimi“, was „niedliche Katzen“ bedeutet. (Delpy selbst ist Franzose und bloggt in seiner Muttersprache über Mimikatz.)
Wie funktioniert Mimikatz?
Mimikatz nutzt die Single Sign-On-Funktion (SSO) von Windows, um Anmeldeinformationen zu ermitteln. Bis zu Windows 10 verwendete Windows standardmäßig eine Funktion namens WDigest, die verschlüsselte Kennwörter, aber auch den zugehörigen geheimen Schlüssel in den Speicher lädt, um sie zu entschlüsseln. WDigest war unter anderem eine nützliche Funktion zum Authentifizieren einer großen Anzahl von Benutzern in einem Unternehmens- oder Regierungsnetzwerk. Mimikatz kann diese Funktion jedoch auch ganz einfach dazu nutzen, um die betroffenen Kennwörter zu extrahieren.
Im Jahr 2013 hat Microsoft die Deaktivierung dieser Funktion ab Windows 8.1 möglich gemacht. In Windows 10 ist sie heute standardmäßig deaktiviert; obwohl Windows noch immer standardmäßig mit WDigest ausgeliefert wird. Ein Angreifer, der Administratorrechte erhält, kann sie so ganz einfach aktivieren und Mimikatz ausführen.
Schlimmer noch: Ciele ältere Maschinen auf der ganzen Welt laufen mit älteren Windows-Versionen, sodass Mimikatz auch unabhängig davon noch unglaublich mächtig ist und wahrscheinlich noch viele Jahre bleiben wird.
Die Geschichte von Mimikatz
Delpy entdeckte den WDigest-Fehler in der Windows-Authentifizierung im Jahr 2011, doch Microsoft wies ihn ab, als er die Sicherheitslücke bei ihnen meldete. Als Reaktion darauf schuf er Mimikatz – geschrieben in C – und brachte die Binärdatei ins Internet, wo sie unter Sicherheitsforschern schnell an Popularität gewann und von Regierungen auf der ganzen Welt unerwünschte Aufmerksamkeit erhielt – was wiederum letztlich zur Veröffentlichung des Quellcodes auf GitHub führte.
Der YouTube-Channel STEALTHbits Technologies demonstriert übersichtlich wie ein Pass the Hash Hack mit Mimikatz funktioniert.
Daraufhin wurde Mimikatz fast sofort auch von nationalstaatlichen Angreifern eingesetzt. Der erste bekannte Fall war der 2011-Hack von DigiNotar, der inzwischen nicht mehr existierenden niederländischen Zertifizierungsbehörde, die infolge des Angriffs bankrottging. Die Angreifer stellten falsche Zertifikate für Google aus und benutzten sie, um die Gmail-Konten mehrerer hunderttausend iranischer Nutzer auszuspionieren.
Das Sicherheitstool wurde seitdem vor allem von Malware-Autoren verwendet, um die Verbreitung ihrer Würmer zu automatisieren, einschließlich des bereits erwähnten NotPetya-Angriffs und des 2017er BadRabbit-Ransomware-Ausbruchs. Mimikatz wird wahrscheinlich noch viele Jahre ein wirksames offensives Sicherheitstool auf Windows-Plattformen bleiben.
Wie man sich gegen Mimikatz schützt
Die Verteidigung gegen den Gebrauch von Mimikatz durch einen Angreifer in der Post-Exploitation ist eine Herausforderung. Da derjenige Angreifer über einen Rootzugriff auf einer Windows-Box verfügen muss, um Mimikatz verwenden zu können, ist das Spiel dahingehend meistens schon entschieden. Schutz ist daher mehr eine Frage der Eindämmung des daraus resultierenden Schadens.
Das Risiko eines Angreifers mit Administratorrechten und Zugriff auf In-Memory-Anmeldeinformationen mit Mimikatz zu reduzieren, ist jedoch möglich und lohnt die Mühe. Der Hauptvorteil besteht darin, die Administratorrechte nur auf Benutzer zu beschränken, die diese auch tatsächlich benötigen.
Ein Upgrade auf Windows 10 oder 8.1 ist zumindest ein Anfang und verringert das Risiko, dass ein Angreifer Mimikatz gegen Sie verwendet. In vielen Fällen ist dies jedoch keine Option. „Hardening the Local Security Authority“ (LSA), ist ebenfalls eine bewährte Strategie zur Risikominimierung von Code-Injection.
Das Deaktivieren von Debug-Berechtigungen (SeDebugPrivilege) kann auch von begrenzter Wirksamkeit sein, da Mimikatz integrierte Windows-Debugging-Tools zum Speichern des Arbeitsspeichers verwendet. Die manuelle Deaktivierung von WDigest in älteren, nicht gepatchten Versionen von Windows verlangsamt einen Angreifer für ein oder zwei Minuten – aber es lohnt sich immer noch.
Eine leider übliche Praxis ist die Wiederverwendung eines einzigen Administratorkennworts innerhalb eines Unternehmens. Stellen Sie sicher, dass jede Windows-Box über ein eigenes Administratorkennwort verfügt. So wird Mimikatz unter Windows 8.1 und höher, wenn LSASS im geschützten Modus ausgeführt wird, schließlich unwirksam.
Die Erkennung und Verwendung von Mimikatz in einem Unternehmensnetzwerk ist ebenfalls kein Allheilmittel, da derzeitige automatisierte Erkennungslösungen keine hohe Erfolgsquote aufweisen. Die beste Verteidigung ist wahrscheinlich ein guter Angriff: Testen Sie Ihre eigenen Systeme regelmäßig mit Mimikatz und führen Sie eine tatsächliche Überwachung durch Ihren Monitor in Ihrem Netzwerk durch.
*J.M. Porup ist Senior Redakteur bei CSOonline.com
Be the first to comment