Il mio capo ha chiarito che abbiamo bisogno di modi migliori per rilevare l'utilizzo di mimikatz sulla rete e sarei d'accordo. Sul posto già per la rilevazione è suricata / ET PRO regola impostata su un paio di tocchi. Queste firme per mimikatz sono incluse nella classe ET ATTACK RESPONSE. Questo è ottimo ma non ottimale perché l'uso deve attraversare i rubinetti "internet" o "datacenter" per diventare visibile ad un analista e anche in questo caso dipende dalla qualità e dalla granularità delle firme scritte. Quindi sono interessato a perseguire opzioni o idee per rilevare mimikatz a livello di host. Ho la possibilità di estrarre attributi da molti molti host in una volta con alcuni threading home e Python. Devo solo sapere cosa cercare? Mimikatz lascia pangrattato? O meglio ancora c'è qualcosa di targetizzabile come un nome di processo o un percorso eseguibile che sarà coerente sull'utilizzo della piattaforma diversa? Sto cacciando mimikatz in un ambiente Windows - l'unica cosa che ho trovato interessante è il concetto di credenziali di miele iniettate nell'LSASS- MA questo dovrebbe essere uno script di avvio con diritti di amministratore e non voglio credenziali di amministratore sugli endpoint. (I crediti per l'iniezione sono falsi, ma per colpire LSASS devi essere un amministratore sul computer locale.) Ci devono essere altri mezzi per rilevare il mimikatz quasi in tempo reale, giusto?