Cómo detectar el uso de mimikatz en la LAN

4

Mi jefe ha dejado en claro que necesitamos mejores formas de detectar el uso de mimikatz en la red, y estoy de acuerdo. En el lugar ya para la detección se encuentra la regla suricata / ET PRO en un par de toques. Estas firmas para mimikatz están incluidas en la clase ET ATTACK RESPONSE. Esto es excelente, pero no es óptimo porque el uso tiene que cruzar los toques de "Internet" o "centros de datos" para que un analista pueda verlos, y luego depende de la calidad y la granularidad de las firmas escritas. Así que estoy interesado en buscar opciones o ideas para detectar mimikatz en el nivel de host. Tengo la capacidad de extraer atributos de muchos hosts a la vez con algunos subprocesos hechos en casa y Python. Sólo necesito saber qué buscar? ¿Mimikatz deja migas de pan? O mejor aún, ¿hay algo que se pueda dirigir como un nombre de proceso o una ruta ejecutable que sea consistente en el uso de diferentes plataformas? Estoy buscando mimikatz en un entorno de Windows; lo único que he encontrado que es interesante es el concepto de las credenciales de Honey inyectadas en el LSASS, PERO esto debería ser un script de inicio que tuviera derechos de administrador y no deseo los credenciales de administrador. en los puntos finales. (Las credenciales de inyección son falsas, pero para alcanzar LSASS debe ser un administrador en la máquina local). Tiene que haber otros medios para detectar mimikatz casi en tiempo real, ¿no?

    
pregunta Charles 23.04.2016 - 16:43
fuente

1 respuesta

4

SANS publicó por primera vez un artículo sobre los conceptos básicos de lo que está buscando, una forma de detectar mimikatz en la red, enlace

Sin embargo, recuerda que mimikatz es capaz de ataques Kerberos - enlace - así como ataques PtH - enlace

Microsoft ofrece más información sobre la teoría detrás de los ataques de Kereberos, incluidas sus recomendaciones para la detección - enlace

Este sitio también tenía algunas técnicas interesantes de análisis de registros que no había visto antes - enlace

Finalmente, una buena defensa también incluirá algo de mitigación y prevención - enlace - - sin embargo, recuerde que mimikatz se ha reescrito en GoLang y Powershell , por lo que su millaje puede variar cuando se intenta prevenir a un atacante bien informado.

    
respondido por el atdre 23.04.2016 - 18:32
fuente

Lea otras preguntas en las etiquetas