Das Windows-Sicherheitstool Mimikatz klingt zwar süß, ist allerdings eines der weitverbreitetsten Werkzeuge, um Passwörter aus Memory Dumps, Hash-Dateien, PINs und Kerberos-Tickets zu extrahieren. Außerdem hat es ein großes Schadpotenzial in sich. Ursprünglich wurde das Tool dazu entwickelt, die Sicherheitslücken von Windows-Systemen zu veranschaulichen. Von seiner ursprünglichen Funktion hat es sich allerdings schnell zu einem Hacker-Tool von White-Hat-Hackern zu Black-Hat-Hackern entwickelt. Trotzdem nutzen auch heute noch Administratoren das Tool, um Sicherheitslücken im eigenen System zu erkennen und daraufhin zu schließen. Diese Zwiespältigkeit macht das Security-Tool Mimikatz zu einem der bekanntesten Offensive Security Tools (OST), das als Open Source für jedermann verfügbar ist.
Wie funktioniert das Tool?
Mimikatz macht es den Anwendern möglich, Passwörter, PINS und Kerberos-Tickets von Windows-Systemen auszulesen. Außerdem nutzt es die Single-Sign-On-Funktion von Windows aus, um Log–in-Daten abzugreifen. Hacker nutzen Mimikatz auch für Malwareangriffe. Mit diesem Feature werden verschlüsselte Passwörter sowie deren Key in den Speicher geladen. Viele Unternehmen und Organisationen nutzen dieses Feature, um Nutzergruppen zu authentifizieren.
Zwar ist „WDigest“ in Windows 10 standardmäßig deaktiviert, doch jeder mit Adminrechten kann es aktivieren und somit auch die Passwörter der Nutzergruppen mithilfe von Mimikatz.
So schützen Sie sich
Angreifer brauchen Root Access, um Mimikatz auf Windows-Systeme loslassen zu können. Im Idealfall sollte Mimikatz erst gar nicht auf das von Ihnen verwendete System zugreifen können. Für ein sicheres Windows-System ist ein Upgrade auf Windows 10 oder zumindest 8.1 notwendig. Ist das nicht möglich, sollten Sie WDigest manuell deaktivieren – wobei das nur eine kleine Hürde für einen potenziellen Angriff sein sollte. Unabhängig von der verwendeten Windows-Version ist eine Konfiguration der Local Security Authority (LSA) absolut notwendig.
Wie erkenne ich Mimikatz?
Das Security-Tool zu erkennen ist leider nicht einfach, da die meisten Detection-Lösungen bei der Software nicht anschlagen. Die einzige Lösung, um Mimikatz sicher zu identifizieren, ist, das eigene System gezielt darauf zu untersuchen. Der Einsatz einer manuellen Netzwerk-Monitoring-Komponente ist daher absolut zu empfehlen.
Wie sollte man sich am besten verhalten?
Was man leider nicht unterschätzen solle: Das Security-Tool Mimikatz bleibt ein hochgefährliches und effizientes Tool für Hacker, das leicht automatisierte Sicherheitsprüfungen umgehen kann. Daher ist es wichtig, wachsam zu bleiben. Allerdings bleiben notwendige Admin- und Remotezugänge sowie Multifaktor-Authentifizierungen, die nicht mit der Logik der Windows-Systeme funktionieren, eine starke Hürde.
Es ist wichtig, Ihre Daten vor potenziellen Angriffen zu schützen und Ihre IT-Security auf den aktuellsten Stand zu bringen. Benötigen sie in diesem Bereich noch Hilfe, steht Ihnen Pusch-Data gerne beratend zur Seite und hilft Ihnen Ihre IT-Security zu optimieren.