Mimikatz

Mimikatz – Süßer Name, gefährliches Offensive Security Tool

/in , , /von

Das Windows-Sicherheitstool Mimikatz trägt zwar einen süßen Namen – jedoch auch ein großes Schadpotenzial in sich. Es wurde ursprünglich dazu entwickelt, die Sicherheitslücken von Windows-Systemen zu demonstrieren, da sich eine Lücke im Authentifizierungsprozess finden lässt. Schnell hat es sich jedoch von einem Tool für White-Hat-Hacker zu einem für Black-Hat-Hacker entwickelt. Dennoch nutzen auch heute noch Admins das Tool, um Sicherheitslücken im eigenen System zu erkennen und dann auch zu schließen. Daher ist Mimikatz heute eines der bekanntesten Offensive Security Tools (OST), das als open-source frei verfügbar ist.

Wie funktioniert Mimikatz?

Mithilfe von Mimikatz ist es möglich, Passwörter, PINS und Kerberos-Tickets von Windows-Systemen auszulesen, weshalb es oft auch von Malware-Angreifern genutzt wird. Hierbei nutzt Mimikatz die Windows Single-Sign-On-Funktion aus, die über das sog. „WDigest“-Feature verfügt. Mit dessen Hilfe werden verschlüsselte Passwörter sowie deren Key in den Speicher geladen. Insbesondere Unternehmen oder andere Organisationen nutzten dieses Feature, um Nutzergruppen zu authentifizieren. Zwar ist WDigest in Windows 10 standardmäßig deaktiviert, doch jeder mit Adminrechten kann es aktivieren. Und somit die Passwörter der Nutzergruppen mithilfe von Mimikatz auslesen.

So wird die Software zum leistungsstarken Tool für Hacker

Um Mimikatz erfolgreich in ein System einzuschleusen wird Root Access benötigt. Ist die Software einmal im System gibt es verschiedene Möglichkeiten, wie Mimikatz arbeiten kann:

Pass-the-hash – Beim Anmelden speicherte Windows in früheren Versionen Passwörter in einem sog. NTLM-Hash. Angreifer können daher Mimikatz nutzen, um diese exakte Hash-Zeichenfolge zu kopieren und an dem Zielcomputer zum Einloggen zu verwenden. Das Passwort muss hierfür nicht einmal bekannt sein, da diese Zeichenfolge als Authentifizierung ausreicht.

Pass-the-Ticket – Neuere Windows-Versionen verwenden keinen NTLM-Hash zur Authentifizierung mehr, sondern sog. Kerberos-Tickets. Dieses kann Mimikatz mittlerweile ebenfalls auslesen und an einen anderen Computer weitergeben, sodass man sich dort als dieser Nutzer anmelden kann.

Over-Pass the Hash (Pass-the-Key) – Mithilfe des auf diese Weise gewonnenen Schlüssels können sich Hacker als Benutzer ausgeben, die über einen Domainen-Controller abrufbar sind.

Kerberos Golden Ticket – Mit einem goldenen Ticket erhalten Sie Domänenadministrationsrechte für jeden Computer im Netzwerk. Perfide: Goldene Tickets laufen nicht ab.

Kerberos Silver Ticket – Kerberos übergibt einem Benutzer ein TGS-Ticket, das für die Anmeldung bei allen Diensten im Netzwerk verwendet wird. Dies ist möglich, da Windows TGS-Tickets nicht bei jeder Anmeldung überprüft.

Pass-the-Cache – Im Allgemeinen handelt es sich hierbei um dieselbe Taktik wie bei einem Pass-the-Ticket-Angriff. Jedoch wird hier kein Windows-System kompromittiert, sondern die gespeicherten und eingetragenen Anmeldedaten auf einem Mac- UNIX- oder Linux-System verwendet.

So schützen Sie Ihr System

Im Idealfall sollte Mimikatz gar nicht erst auf Ihr System zugreifen können. Voraussetzungen für ein zunächst sicheres Windows-System ist ein Upgrade auf Windows 10 (oder zumindest 8.1). Sollte dies nicht möglich sein, ist es zumindest ratsam, WDigest manuell zu deaktivieren, wobei dies wohl nur eine kleine Hürde für einen kundigen Angreifer sein sollte. Unabhängig von der verwendeten Windows-Version ist eine Konfiguration der Local Security Authority (LSA) absolut notwendig.

Leider ist ein übergreifendes Admin-Passwort in Unternehmen heute noch gängige Praxis, obwohl dies eine allseitsbekannte Sicherheitslücke darstellt. Jede Windows-Maschine benötigt nun mal ein eigenes, einzigartiges Administrator-Passwort. Die Kombination aus LSASS und abgesichertem Modus macht unter den neueren Windows-Versionen Mimikatz wirkungslos.

Daneben sollten Sie Ihre Mitarbeiter hinsichtlich der Gefahren durch Phishing-Mails aufklären und die Verwendung von Makros einschränken,

Mimikatz entdecken

Mimikatz zu entdecken, ist ein schwieriges Unterfangen, da die meisten Detection-Lösungen bei der Software nicht anschlagen. Die einzige wirkliche Lösung, um Mimikatz sicher zu identifizieren ist, das eigene System gezielt darauf zu untersuchen. Der Einsatz einer manuellen Netzwerk-Monitoring-Komponente ist daher absolut zu empfehlen.

Was also tun?

Letztlich bleibt, dass Mimikatz ein hochgefährliches und effizientes Tool für Hacker ist, das leicht an automatisierten Sicherheitsprüfungen vorbeischlüpfen kann. Daher ist hier der Mensch in der Pflicht, wachsam zu bleiben. Einfache Sicherheitsinstallationen wie einzigartige Admin-Passwörter für jede Maschine. Nur notwendige Admin- und Remotezugänge sowie Multifaktor-Authentifizierungen, die nicht mit der Logik der Windows-Systeme funktionieren, bilden eine starke Hürde.