Come rilevare l'utilizzo di mimikatz su LAN

4

Il mio capo ha chiarito che abbiamo bisogno di modi migliori per rilevare l'utilizzo di mimikatz sulla rete e sarei d'accordo. Sul posto già per la rilevazione è suricata / ET PRO regola impostata su un paio di tocchi. Queste firme per mimikatz sono incluse nella classe ET ATTACK RESPONSE. Questo è ottimo ma non ottimale perché l'uso deve attraversare i rubinetti "internet" o "datacenter" per diventare visibile ad un analista e anche in questo caso dipende dalla qualità e dalla granularità delle firme scritte. Quindi sono interessato a perseguire opzioni o idee per rilevare mimikatz a livello di host. Ho la possibilità di estrarre attributi da molti molti host in una volta con alcuni threading home e Python. Devo solo sapere cosa cercare? Mimikatz lascia pangrattato? O meglio ancora c'è qualcosa di targetizzabile come un nome di processo o un percorso eseguibile che sarà coerente sull'utilizzo della piattaforma diversa? Sto cacciando mimikatz in un ambiente Windows - l'unica cosa che ho trovato interessante è il concetto di credenziali di miele iniettate nell'LSASS- MA questo dovrebbe essere uno script di avvio con diritti di amministratore e non voglio credenziali di amministratore sugli endpoint. (I crediti per l'iniezione sono falsi, ma per colpire LSASS devi essere un amministratore sul computer locale.) Ci devono essere altri mezzi per rilevare il mimikatz quasi in tempo reale, giusto?

    
posta Charles 23.04.2016 - 16:43
fonte

1 risposta

4

SANS ha pubblicato per la prima volta un articolo sulle basi di ciò che stai cercando - un modo per rilevare mimikatz sulla rete - link

Tuttavia, ricorda che mimikatz è capace di attacchi Kerberos - link - così come gli attacchi PtH - link

Maggiori informazioni sulla teoria degli attacchi Kereberos sono disponibili da Microsoft, inclusi i loro consigli per il rilevamento - link

Questo sito ha anche alcune interessanti tecniche di analisi dei log che non avevo mai visto prima - link

Infine, una buona difesa includerà anche un po 'di mitigazione e prevenzione - link - - tuttavia, ricorda che mimikatz è stato riscritto in GoLang e PowerShell , quindi il tuo chilometraggio può variare quando si cerca di prevenire un aggressore ben informato.

    
risposta data 23.04.2016 - 18:32
fonte

Leggi altre domande sui tag