Mi jefe ha dejado en claro que necesitamos mejores formas de detectar el uso de mimikatz en la red, y estoy de acuerdo. En el lugar ya para la detección se encuentra la regla suricata / ET PRO en un par de toques. Estas firmas para mimikatz están incluidas en la clase ET ATTACK RESPONSE. Esto es excelente, pero no es óptimo porque el uso tiene que cruzar los toques de "Internet" o "centros de datos" para que un analista pueda verlos, y luego depende de la calidad y la granularidad de las firmas escritas. Así que estoy interesado en buscar opciones o ideas para detectar mimikatz en el nivel de host. Tengo la capacidad de extraer atributos de muchos hosts a la vez con algunos subprocesos hechos en casa y Python. Sólo necesito saber qué buscar? ¿Mimikatz deja migas de pan? O mejor aún, ¿hay algo que se pueda dirigir como un nombre de proceso o una ruta ejecutable que sea consistente en el uso de diferentes plataformas? Estoy buscando mimikatz en un entorno de Windows; lo único que he encontrado que es interesante es el concepto de las credenciales de Honey inyectadas en el LSASS, PERO esto debería ser un script de inicio que tuviera derechos de administrador y no deseo los credenciales de administrador. en los puntos finales. (Las credenciales de inyección son falsas, pero para alcanzar LSASS debe ser un administrador en la máquina local). Tiene que haber otros medios para detectar mimikatz casi en tiempo real, ¿no?