Cuando Benjamin Delpy creó Mimikatz con el objetivo de la vulnerabilidad de los protocolos de ataque de Windows, nunca se imaginó que su invención fuera a convertirse en una herramienta tan popular entre pentesters y hackers de todo el mundo.
Ya han pasado varios años desde la creación de Mimikatz, y aunque Windows ya ha desarrollado algunas herramientas para proteger a los usuarios de este ladrón de credenciales, todavía, muchos cibercriminales lo siguen utilizando para potenciar sus ataques.
Si te interesa conocer más acerca de esta técnica y los riesgos que representa, te invitamos a que sigas leyendo a continuación. Descubre todo lo que necesitas saber sobre Mimikatz y mantente un paso adelante de las amenazas.
¿Qué es Mimikatz?
Mimikatz es una aplicación de código abierto que permite entre otras cosas, robar datos de identificación de otros usuarios al brindar accesos por ejemplo, a los tickets Kerberos.
Gracias a que brinda capacidades para infiltrarse de forma ilegal en los sistemas, los pentesters también utilizan frecuentemente la herramienta Mimikatz para detectar y explotar las vulnerabilidades de la red, y de esta manera hallar las formas de reparar las brechas.
¿Cómo funciona Mimikatz?
Aunque en principio fue creada para detectar vulnerabilidades en Windows, actualmente Mimikatz representa una puerta abierta a varios tipos de amenazas.
Windows cuenta con la funcionalidad de Inicio de Sesión Único, esta característica es la que explota Mimikatz para robar credenciales. Windows hasta su versión 10 usaba por defecto una función llamada WDigest para guardar contraseñas cifradas en la memoria, pero también la clave secreta para descifrarlas.
Aunque WDigest ayudó a muchas empresas con el proceso de autenticación de usuarios en sus redes corporativas; también permitió que Mimikatz tuviera acceso para extraer contraseñas. Actualmente la función WDigest está inactiva en el Windows, sin embargo; todavía viene incorporada en sistema operativo de Microsoft lo que la convierte en una potencial amenaza, pues el atacante solo tienen que activarla e iniciar la ejecución de Mimikatz.
Desafortunadamente, también existen muchos equipos con versiones antiguas de Windows que carecen de los parches y actualizaciones necesarios para proteger los sistemas. Esto hace que la amenaza del Mimikatz esté más latente que nunca.
Mimikatz puede utilizar técnicas para recopilar credenciales como:
Pass-the-Ticket: Los datos de contraseña de un usuario en Windows se guardan en los llamados Tickets Kerberos. Mimikatz ofrece al hacker la posibilidad de acceder a este ticket y autenticarse sin necesidad de utilizar una contraseña.
Kerberos Golden Ticket: Este es un ataque tipo Pass the Ticket. Este ticket corresponde a una cuenta oculta llamada KRBTGT; que no es otra que la cuenta que encripta todos los demás tickets. Este ataque ofrece un pase dorado al hacker; para que pueda obtener derechos de administrador de dominio que no caducan.
Kerberos Silver Ticket: En este caso, Kerberos otorga un ticket TGS a un usuario y este puede utilizarlo para conectarse a cualquier servicio de la red.
Pass-the-Cache: También podría entrar el la clasificación de ataques tipo Pass the Ticket. La única diferencia es que en este caso; Mimikatz utiliza los datos de conexión grabados y cifrados de un sistema Mac/UNIX/Linux.
Pass-the-Hash: No importa si el atacante no tiene acceso a la contraseña en texto plano, del dispositivo al que quiere saber. Con Mimikatz, el hacker puede usar los hashes NTLM para autenticarse y acceder al sistema.
En el ámbito del pentesting, esta herramienta puede ser utilizada también para:
- Descubrir los rootkits en modo kernel listando los hooks colocados en las APIs de Windows.
- Enumerar las autenticaciones secundarias iniciadas por los atacantes para conectarse mediante diferentes vectores; o encontrar huellas dactilares secundarias que normalmente están ocultas por Windows.
- Encontrar las claves privadas RSA para cifrar los discos duros, incluso si el certificado ha sido eliminado.
Es importante que tengas en cuenta que para utilizar Mimikatz, el atacante debe:
- Tener una cuenta en el ordenador que desea atacar.
- Tener derechos de administrador.
¿Qué hacer para proteger tus sistemas?
Mantén tus sistemas actualizados
La importancia de mantener los sistemas operativos y aplicaciones al día parece bastante obvia para algunos, sin embargo; existen numerosos usuarios descuidados que no se preocupan por aplicar los parches o actualizaciones necesarios para cada recurso con el que cuentan.
Esto es un grave error, pues aunque no parezca gran cosa; son precisamente estas actualizaciones y parches los que permiten la detección temprana de amenazas nuevas y no tan nuevas.
Limita los privilegios de administrador
Reduce al máximo el número de privilegios que otorgas y ofrece derechos de administrador solo a aquellos usuarios a los que estos permisos les sean indispensables para realizar su trabajo.
Haz un pentesting
Evalúa tus sistemas de forma regular a través de una prueba de intrusión o pentesting. En este caso, tu experto de seguridad podrá incluso utilizar el Mimikatz como un recurso a favor para detectar los puntos débiles de tus sistemas.
Integra herramientas de seguridad eficientes
No existe ninguna estrategia de seguridad exitosa que no incluya herramientas eficientes. Integra en tus sistemas todas las que sean necesarias; incluyendo antivirus, software de detección de vulnerabilidades, soluciones SIEM, etc.
El Mimikatz continuará siendo una amenaza durante algún tiempo más; pero eso no tiene por qué representar un problema para tu empresa. Con ayuda de las herramientas adecuadas, la seguridad de tus activos digitales está garantizada.
Cuenta con nosotros para ofrecerte estas herramientas y mucho más. En GB Advisors nos esforzamos por brindar soluciones de alta tecnología y asesoría profesional para que las empresas puedan llevar a cabo sus proyectos de TI sin ninguna dificultad.
Contáctanos y descubre todas las formas en las que podemos ayudarte.