Mimikatz: So schützen Sie sich gegen das Post-Exploitation-Tool

Mimikatz ist ein mächtiges Tool, um Windows-Systeme anzugreifen oder sogar zu verteidigen. Hier erfahren Sie, was Sie wissen müssen, um auf den neuesten Stand zu kommen. [...]

img-1
Mimikatz nutzt die Single-Sign-On-Funktion von Windows, um an Passwörter, PINs und Hashes zu kommen (c) Pixabay.com

Mimikatz ist ein führendes Post-Exploitation-Tool, das Passwörter sowie Hashes, PINs und Kerberos-Tickets aus einem Speicher laden kann. Andere nützliche Angriffe, die es ermöglicht, wären beispielsweise Pass-the-Hash, Pass-The-Ticket oder das Erstellen von Golden Kerberos-Tickets. Diese erleichtern den Angreifern eine laterale Post-Exploitation-Bewegung innerhalb des betroffenen Netzwerks.

Mimikatz, das vom Autor liebevoll als „ein kleines Tool zum Spielen mit der Windows-Sicherheit“ bezeichnet wird, ist ein unglaublich effektives, offensives Sicherheitstool, das ursprünglich von Benjamin Delpy entwickelt wurde und von Penetration-Testern und Malware-Autoren gleichermaßen verwendet wird. Die zerstörerische NotPetya-Malware von 2017 löste NSA-Exploits wie EternalBlue gemeinsam mit Mimikatz aus, um so maximalen Schaden zu erzielen.

Ursprünglich von Delpy als Forschungsprojekt konzipiert, um ein besseres Verständnis für die Windows-Sicherheit zu generieren, enthält Mimikatz auch ein Modul, das Minesweeper aus dem Datenspeicher lädt und die Lokalisierung dieser Minen anschließend offenlegt.

Mimikatz ist nicht schwer zu bedienen, und Mimikatz v1 wird sogar – als Meterpreter-Skript zusammengefasst – als Teil von Metasploit mitgeliefert. Das neue Upgrade von Mimikatz v2 wurde dagegen zum Zeitpunkt dieser Veröffentlichung noch nicht in Metasploit integriert.

Der Name „Mimikatz“ kommt übrigens vom französischen Slangwort „Mimi“, was „niedliche Katzen“ bedeutet. (Delpy selbst ist Franzose und bloggt in seiner Muttersprache über Mimikatz.)

Wie funktioniert Mimikatz?

Mimikatz nutzt die Single Sign-On-Funktion (SSO) von Windows, um Anmeldeinformationen zu ermitteln. Bis zu Windows 10 verwendete Windows standardmäßig eine Funktion namens WDigest, die verschlüsselte Kennwörter, aber auch den zugehörigen geheimen Schlüssel in den Speicher lädt, um sie zu entschlüsseln. WDigest war unter anderem eine nützliche Funktion zum Authentifizieren einer großen Anzahl von Benutzern in einem Unternehmens- oder Regierungsnetzwerk. Mimikatz kann diese Funktion jedoch auch ganz einfach dazu nutzen, um die betroffenen Kennwörter zu extrahieren.

Im Jahr 2013 hat Microsoft die Deaktivierung dieser Funktion ab Windows 8.1 möglich gemacht. In Windows 10 ist sie heute standardmäßig deaktiviert; obwohl Windows noch immer standardmäßig mit WDigest ausgeliefert wird. Ein Angreifer, der Administratorrechte erhält, kann sie so ganz einfach aktivieren und Mimikatz ausführen.

Schlimmer noch: Ciele ältere Maschinen auf der ganzen Welt laufen mit älteren Windows-Versionen, sodass Mimikatz auch unabhängig davon noch unglaublich mächtig ist und wahrscheinlich noch viele Jahre bleiben wird.

Die Geschichte von Mimikatz

Delpy entdeckte den WDigest-Fehler in der Windows-Authentifizierung im Jahr 2011, doch Microsoft wies ihn ab, als er die Sicherheitslücke bei ihnen meldete. Als Reaktion darauf schuf er Mimikatz – geschrieben in C – und brachte die Binärdatei ins Internet, wo sie unter Sicherheitsforschern schnell an Popularität gewann und von Regierungen auf der ganzen Welt unerwünschte Aufmerksamkeit erhielt – was wiederum letztlich zur Veröffentlichung des Quellcodes auf GitHub führte.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Der YouTube-Channel STEALTHbits Technologies demonstriert übersichtlich wie ein Pass the Hash Hack mit Mimikatz funktioniert.

Daraufhin wurde Mimikatz fast sofort auch von nationalstaatlichen Angreifern eingesetzt. Der erste bekannte Fall war der 2011-Hack von DigiNotar, der inzwischen nicht mehr existierenden niederländischen Zertifizierungsbehörde, die infolge des Angriffs bankrottging. Die Angreifer stellten falsche Zertifikate für Google aus und benutzten sie, um die Gmail-Konten mehrerer hunderttausend iranischer Nutzer auszuspionieren.

Das Sicherheitstool wurde seitdem vor allem von Malware-Autoren verwendet, um die Verbreitung ihrer Würmer zu automatisieren, einschließlich des bereits erwähnten NotPetya-Angriffs und des 2017er BadRabbit-Ransomware-Ausbruchs. Mimikatz wird wahrscheinlich noch viele Jahre ein wirksames offensives Sicherheitstool auf Windows-Plattformen bleiben.

Wie man sich gegen Mimikatz schützt

Die Verteidigung gegen den Gebrauch von Mimikatz durch einen Angreifer in der Post-Exploitation ist eine Herausforderung. Da derjenige Angreifer über einen Rootzugriff auf einer Windows-Box verfügen muss, um Mimikatz verwenden zu können, ist das Spiel dahingehend meistens schon entschieden. Schutz ist daher mehr eine Frage der Eindämmung des daraus resultierenden Schadens.

Das Risiko eines Angreifers mit Administratorrechten und Zugriff auf In-Memory-Anmeldeinformationen mit Mimikatz zu reduzieren, ist jedoch möglich und lohnt die Mühe. Der Hauptvorteil besteht darin, die Administratorrechte nur auf Benutzer zu beschränken, die diese auch tatsächlich benötigen.

Ein Upgrade auf Windows 10 oder 8.1 ist zumindest ein Anfang und verringert das Risiko, dass ein Angreifer Mimikatz gegen Sie verwendet. In vielen Fällen ist dies jedoch keine Option. „Hardening the Local Security Authority“ (LSA), ist ebenfalls eine bewährte Strategie zur Risikominimierung von Code-Injection.

Das Deaktivieren von Debug-Berechtigungen (SeDebugPrivilege) kann auch von begrenzter Wirksamkeit sein, da Mimikatz integrierte Windows-Debugging-Tools zum Speichern des Arbeitsspeichers verwendet. Die manuelle Deaktivierung von WDigest in älteren, nicht gepatchten Versionen von Windows verlangsamt einen Angreifer für ein oder zwei Minuten – aber es lohnt sich immer noch.

Eine leider übliche Praxis ist die Wiederverwendung eines einzigen Administratorkennworts innerhalb eines Unternehmens. Stellen Sie sicher, dass jede Windows-Box über ein eigenes Administratorkennwort verfügt. So wird Mimikatz unter Windows 8.1 und höher, wenn LSASS im geschützten Modus ausgeführt wird, schließlich unwirksam.

Die Erkennung und Verwendung von Mimikatz in einem Unternehmensnetzwerk ist ebenfalls kein Allheilmittel, da derzeitige automatisierte Erkennungslösungen keine hohe Erfolgsquote aufweisen. Die beste Verteidigung ist wahrscheinlich ein guter Angriff: Testen Sie Ihre eigenen Systeme regelmäßig mit Mimikatz und führen Sie eine tatsächliche Überwachung durch Ihren Monitor in Ihrem Netzwerk durch.

*J.M. Porup ist Senior Redakteur bei CSOonline.com


Mehr Artikel

img-2
News

Schulungsbedarf in den Bereichen KI, Cybersecurity und Cloud

Der IT Skills & Salary Report 2024 unterstreicht den wachsenden Bedarf an Weiterbildung und Umschulung von Arbeitskräften, um mit dem technologischen Fortschritt Schritt zu halten. Künstliche Intelligenz steht bei Entscheidungsträgern ganz oben auf der Liste der Investitionsschwerpunkte, da hier die Team-Kompetenzen am niedrigsten eingestuft werden. […]

img-4
News

KI-gestützte Effizienzoptimierung im Lager

Die österreichische TeDaLoS GmbH, Anbieter von smarten Lagerstandsüberwachungssystemen, hat ein Kapital-Investment erhalten, mit dem das Unternehmen eine beschleunigte internationale Expansion und den Ausbau von KI-gestützten Lösungen zur Optimierung der Materialbewirtschaftung vorantreiben will. […]

Helmut Reich, Managing Director proALPHA Software Austria (c) Erich Reismann
Interview

ERP auf dem Weg zum Digital Twin

Die in einem ERP-System hinterlegten Daten spiegeln in der Regel die Wirklichkeit nur bedingt wider. Mit Hilfe der künstlichen Intelligenz soll sich das bald ändern. proALPHA entwickelt seine Kernapplikation im Zusammenspiel mit seiner schnell wachsenden ERP+-Familie in Richtung eines Digital Twin weiter. Das Ziel: die 1:1-Abbildung der realen Wirtschaftswelt. […]

Ismet Koyun, CEO und Gründer der KOBIL Gruppe (c) KOBIL Gruppe
Kommentar

Wie SuperApps den Mobilitätsmarkt revolutionieren können

Bahntickets, Busse, Carsharing, Taxis – wer mobil sein will, benötigt eine Vielzahl von Apps. Das muss nicht sein, sagt Ismet Koyun, Gründer und CEO des Unternehmens KOBIL, Weltmarktführer für digitale Identitäts- und mobile Sicherheitslösungen. Neue Technologien könnten all diese Angebote in einer einfachen, komfortablen und sicheren Lösung bündeln. Intelligente, vernetzte Verkehrssysteme und Datenaustausch auf österreichischer und europäischer Ebene bereiten dafür den Weg und schaffen die nötigen Voraussetzungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*