Mimikatz
Passwort-Diebstahl leicht gemacht
J.M. Porup schreibt als Senior Security Reporter für unsere US-Schwesterpublikation CSO Online. Er beschäftigt sich seit dem Jahr 2002 mit dem Themenbereich IT Security.
Mimikatz ist eines der meistverbreiteten Werkzeuge, um Passwörter aus Memory Dumps, Hash-Dateien, PINs und Kerberos-Tickets zu extrahieren. Darüber hinaus ermöglicht Mimikatz beispielsweise auch sogenannte Pass-the-Hash- sowie Pass-the-Ticket-Angriffe und kann auch dazu eingesetzt werden, goldene Kerberos-Tickets zu erzeugen. Zusammengefasst macht Mimikatz es für Angreifer zum Kinderspiel, sich lateral durch Netzwerke zu bewegen.
Mimikatz - Entstehung und Historie
Entwickelt wurde Mimikatz im Jahr 2011 vom französischen Security-Spezialisten Benjamin Delpy, der das Tool selbst als "kleines Spielzeug für Windows SecuritySecurity" beschreibt. Mimikatz wird von Pentestern und von kriminellen Akteuren gleichermaßen zum Einsatz gebracht: Die im Jahr 2017 grassierende NotPetya-Ransomware etwa kombinierte zuvor geleakte NSA-Sicherheitslücken wie EternalBlue mit Mimikatz, um ihre schadhafte Wirkung zu maximieren. Auch im Fall der Erpresser-Malware Bad Rabbit setzten die verantwortlichen Akteure das Passwort-Kompromittierungs-Tool ein. Alles zu Security auf CIO.de
Ursprünglich hatte Delpy Mimikatz als Forschungsprojekt konzipiert, um die Sicherheit von Windows-Systemen besser zu verstehen. Dabei entdeckte er eine Sicherheitslücke innerhalb des Authentifizierungsprozesses. Als Delpy seine Erkenntnisse an Microsoft melden wollte, wurde er abgewiesen. Seine Antwort war die Kreation von Mimikatz, das er in C programmierte und anschließend mit der Security Community teilte. Das Tool entwickelte sich zum durchschlagenden Erfolg, der Quellcode wurde schließlich auf GitHub veröffentlicht.
Allerdings stieß Mimikatz nicht nur bei Security-Spezialisten, sondern auch bei Black Hat Hackern und Regierungen schnell auf reges Interesse. Schon im Jahr 2011 wurde das Tool erstmals von staatlich beauftragten Hackern eingesetzt: Diesen gelang es, die niederländische Zertifizierungsstelle DigiNotar zu kompromittieren und gefälschte Google-Zertifikate zu erstellen, die im Anschluss dazu benutzt wurden, die Gmail-Konten von Usern aus dem Iran großflächig auszuspionieren.
Auch Malware-Autoren bringen regelmäßig Mimikatz zum Einsatz, um die Verbreitung ihrer Würmer zu automatisieren. Das dürfte sich auch in den kommenden Jahren nicht ändern: Mimikatz ist eines der effektivsten, offensiven Security ToolsTools für Windows - die Einstiegshürden sind dabei nicht besonders hoch. Mimikatz kommt als Meterpreter-Script im Bundle mit dem Pentesting Framework Metasploit. Der Name entstammt im Übrigen der französischen Mundart und bedeutet "süße Kätzchen". Alles zu Tools auf CIO.de
Mimikatz - So funktioniert's
Mimikatz nutzt die Single-Sign-On-Funktion von Windows aus, um Login-Daten abzugreifen. Bis zur Veröffentlichung von Windows 10 wurden alle Microsoft-Betriebsysteme mit einem Feature namens "WDigest" ausgeliefert, das dafür sorgt, dass verschlüsselte Passwörter - und der geheime Key, der nötig ist, um diese zu entschlüsseln - in den Speicher geladen werden. "WDigest" war ursprünglich ein nützliches Feature, um große Nutzergruppen innerhalb von Unternehmens- oder Regierungsnetzwerken zu authentifizieren. Mit Hilfe von Mimikatz lassen sich die zugehörigen Passwörter extrahieren.
Im Jahr 2013 sorgte Microsoft dafür, dass sich das Feature unter Windows 8.1 deaktivieren ließ - seit Windows 10 ist es standardmäßig deaktiviert. Dennoch ist "WDigest" weiterhin Teil von Windows: Ein Angreifer, der Administratorrechte erlangt, kann es problemlos aktivieren und im Anschluss Mimikatz nutzen.
Ein viel größeres Problem ist jedoch, dass unzählige Legacy-Maschinen in Unternehmen auf der ganzen Welt mit veralteten Windows-Versionen laufen und deswegen ideale Ziele für einen Angriff mit Mimikatz darstellen.
Mimikatz - Verteidigungsstrategien
Angreifer brauchen Root Access, um Mimikatz auf Windows-Systeme loslassen zu können. Kommt es dazu, ist meist nicht mehr viel zu retten - dann kommt es darauf an, den Schaden und seine Folgen so gut wie möglich zu begrenzen. Um das Risiko zu reduzieren, dass ein Angreifer überhaupt erst in die Lage kommt, mit Admin-Privilegien auf In-Memory-Zugangsdaten zugreifen zu können, gibt es allerdings durchaus Mittel. Vor allem sollten Administratorrechte ausschließlich an Benutzer vergeben werden, die diese auch zwingend benötigen.
Auch ein Upgrade auf Windows 11 - oder wenigstens 8.1 - ist ein guter Anfang, um Angreifer mit Mimikatz den Wind aus den Segeln zu nehmen - in vielen Fällen ist das aber schlicht keine Option. Die Konfiguration der Local Security Authority (LSA) unter Windows stellt ebenfalls eine bewährte Strategie dar, um das Risiko eines Mimikatz-Angriffs zu minimieren. "WDigest" auf älteren Windows-Systemen manuell zu deaktivieren, ist ebenfalls empfehlenswert, auch wenn es Angreifer im Ernstfall nur wenige Minuten aufhalten dürfte.
Dass ein übergreifendes Admin-Passwort im Unternehmen ein absolutes No-Go darstellt, sollte man eigentlich nicht erwähnen müssen - dennoch stellt das weiterhin eine gängige Worst Practice im Unternehmensumfeld dar. Jede Windows-Maschine braucht ein eigenes, einzigartiges Administrator-Passwort. Unter Windows 8.1 (und höher) macht die Kombination aus LSASS und abgesichertem Modus Mimikatz wirkungslos.
Dem Einsatz von Mimikatz in einem Unternehmensnetzwerk auf die Schliche zu kommen, ist alles andere als ein leichtes Unterfangen. Die meisten derzeitigen Detection-Lösungen schlagen bei Mimikatz nicht an. Angriff ist deshalb die beste Verteidigungsstrategie: Testen Sie Ihre eigenen Systeme regelmäßig mit Mimikatz und verzichten Sie ganz generell nicht auf eine manuelle Netzwerk-Monitoring-Komponente. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.