Mimikatz

Mimikatz is een open source malwareprogramma dat door hackers en penetratietesters wordt gebruikt om gegevens van Windows-computers te verzamelen. Mimikatz is in 2007 ontwikkeld door Benjamin Deply en was oorspronkelijk bedoeld als een proof of concept om de kwetsbaarheden in het Microsoft authenticatieprotocol te leren kennen. Sindsdien is mimikatz echter uitgegroeid tot een veel gedownloade hacking tool.

Om volledig te kunnen functioneren, heeft mimikatz beheerders- of volledige systeemcontrole nodig. Een mimikatz-aanval maakt gebruik van verschillende technieken om gevoelige informatie, zoals platte wachtwoorden, hash, pincodes en tickets uit het geheugen van een systeem te halen. De verzamelde credentials kunnen vervolgens worden gebruikt om toegang te krijgen tot ongeautoriseerde informatie of om laterale bewegingsaanvallen uit te voeren.

Hoewel mimikatz over het algemeen wordt gebruikt als een ondergronds en schadelijk hulpmiddel, en het verspreiden van malwarevirussen in de meeste landen illegaal is, kunnen sommige professionals dit nog steeds aanprijzen als een vaardigheid die ze uitvoeren binnen de commerciële hackingindustrie. Dit is waar bedrijven white hat hackers inhuren om hen te helpen zoeken naar zwakke plekken in hun eigen beveiligingssystemen.  

Er zijn altijd nieuwe manieren om een computer te hacken met behulp van mimikatz, dus de verdediging ertegen moet kunnen worden aangepast en bijgewerkt om effectief te blijven. Een mimikatz-aanval is moeilijk te detecteren, maar het is wel mogelijk om na te gaan of een machine of account is gecompromitteerd. Het is gemakkelijker om een mimikatz-aanval uit te voeren in een systeem met brede toegang, omdat het meerdere referenties onder één toegangspunt opslaat. Bijvoorbeeld een gebruiker die Windows draait met een single sign-on (SSO)-systeem.

Gemeenschappelijke soorten mimikatz-aanvallen

  • Heldere tekst wachtwoorden stelen: Wachtwoorden worden in een voorspelbare, niet-versleutelde staat op machines opgeslagen, waardoor ze in een database kunnen worden opgezocht.
  • Pass-the-hash-aanval: Een aanval waarbij credentials die in een systeem zijn opgeslagen, worden hergebruikt zonder dat daadwerkelijk wordt achterhaald wat ze zijn, maar waarbij ze worden doorgezet naar een account of een deel van een systeem waartoe de aanvaller normaal gesproken geen toegang zou hebben.
  • Golden ticket-aanval: Bij een golden ticket-aanval wordt een valse authenticatie binnen Kerberos gecreëerd, een authenticatieprotocol dat gebruikers en servers controleert voordat informatie wordt uitgewisseld. De valse legitimatie, of golden ticket, geeft aanvallers toegang om een willekeurig aantal ongeautoriseerde wijzigingen in systeemaccounts en groepen door te voeren