تاريخ اليوم
  • الرئيسية
    • ما هي Mimikatz.Windows.؟
    الرئسية معلومات ما هي Mimikatz.Windows.؟

    ما هي Mimikatz.Windows.؟



    شارك المقالة


    بسم الله الرحمن الرحيم 
    الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم 
    السلام عليكم ورحمة الله

    ما هي Mimikatz.Windows



    وكيفية الدفاع ضد أداة سرقة كلمة المرور هذه
    يعد Mimikatz أداة قوية عند مهاجمة أنظمة Windows أو الدفاع عنها. إليك ما تحتاج إلى معرفته للحصول .
               
    تعريف Mimikatz
    هي أداة رائدة في مرحلة ما بعد الاستغلال تتخلص من كلمات المرور من الذاكرة 
    بالإضافة إلى بطاقات التجزئة والرموز الشخصية وتذاكر Kerberos. الهجمات المفيدة الأخرى التي تتيحها هي اجتياز البطاقة أو تمرير التذاكر أو إنشاء تذاكر Golden Kerberos. هذا يجعل الحركة الجانبية بعد الاستغلال داخل شبكة سهلة للمهاجمين.
    التي وصفها الكاتب بأنها "مجرد أداة صغيرة للعب مع أمان Windows،" هو أداة أمنية هجومية فعالة بشكل لا يصدق وضعتها بنيامين ديلبي.

     بنيامين دلبي ، هو باحث الأمن المعروف باسم "gentilkiwi". متحمسًا للأمن ، ينشر الأدوات والمقالات التي تتحدث عن نقاط ضعف المنتجات وتثبت بعض أفكاره. كان Mimikatz أول برنامج طوّره وصل إلى جمهور دولي. يتم التعرف عليه الآن كأداة تدقيق أمان Windows. وقد تحدث سابقًا في PHDays و ASFWS و StHack و Black Hat و BlueHat وغيرها الكثير.

     يتم استخدامه من قبل اختبار الاختراق ومؤلفي البرمجيات الخبيثة على حد سواء. والمدمر 2017 NotPetya البرامج الضارة توالت تسربت NSA يستغل مثل EternalBlue مع Mimikatz لتحقيق أقصى قدر من الضرر.
    تم تصميم Mimikatz في الأصل كمشروع بحثي من قبل Delpy لفهم أمان Windows بشكل أفضل.
    ليس من الصعب استخدام Mimikatz ، ويأتي Mimikatz v1 مضمنًا كبرنامج نصي مترجم كجزء من Metasploit. لم يتم دمج ترقية Mimikatz v2 الجديدة في Metasploit حتى كتابة هذه السطور.
    اسم "mimikatz" يأتي من العامية الفرنسية "mimi" التي تعني لطيف ، وبالتالي "القطط لطيف". (Delpy فرنسي ، ويقوم بالتدوين على Mimikatz بلغته الأم.)

     كيف يعمل Mimikatz؟
    يستغل Mimikatz وظيفة تسجيل الدخول الأحادي لـ Windows (SSO) لحصد بيانات الاعتماد. حتى Windows 10 ، استخدم Windows افتراضيًا ميزة تسمى WDigest تقوم بتحميل كلمات المرور المشفرة في الذاكرة ، ولكنها تقوم أيضًا بتحميل المفتاح السري لفك تشفيرها. كانت WDigest ميزة مفيدة لمصادقة أعداد كبيرة من المستخدمين على شبكة مؤسسة أو حكومة ، ولكنها تتيح أيضًا لـ Mimikatz استغلال هذه الميزة من خلال إلقاء الذاكرة واستخراج كلمات المرور.

     في عام 2013 ، أتاحت Microsoft تعطيل هذه الميزة اعتبارًا من Windows 8.1 ، ويتم تعطيلها افتراضيًا في Windows 10. ومع ذلك ، لا يزال Windows يأتي مع WDigest ، ويمكن للمهاجم الذي يكتسب امتيازات إدارية تشغيله وتشغيل Mimikatz.
    والأسوأ من ذلك ، أن العديد من الآلات القديمة حول العالم تدير إصدارات قديمة من Windows بحيث لا يزال Mimikatz قويًا للغاية ولا يزال من المحتمل أن تظل كذلك لسنوات عديدة قادمة.

     تاريخ Mimikatz
    اكتشف Delpy خلل WDigest في مصادقة Windows في عام 2011 ، لكن Microsoft حذفته عندما أبلغ عن الضعف. رداً على ذلك ، أنشأ Mimikatz - المكتوب بلغة C - وأمسك بالثنائي على الإنترنت ، حيث اكتسب شعبية بسرعة بين الباحثين في مجال الأمن ، ناهيك عن الاهتمام غير المرغوب فيه من الحكومات في جميع أنحاء العالم ، مما أدى إلى إصدار الكود المصدري في نهاية المطاف على GitHub .
    تم استخدام Mimikatz على الفور تقريبًا من قِبل مهاجمي الدولة القومية ، وكانت أول حالة معروفة هي اختراق DigiNotar لعام 2011 ، وهي سلطة إصدار الشهادات الهولندية التي انتهت صلاحيتها الآن ، والتي أفلست نتيجة للتسلل. قام المهاجمون بإصدار صور وهمية لـ Google واستخدموها للتجسس على حسابات Gmail التي تضم مئات الآلاف من المستخدمين الإيرانيين.
    ومنذ ذلك الحين استخدام الأداة الأمنية التي الخبيثة الكتاب لأتمتة انتشار الديدان، بما في ذلك الهجوم NotPetya المذكور و 2017 انتزاع الفدية BadRabbit تفشي المرض.
    من المحتمل أن تظل Mimikatz أداة أمان هجومية فعالة على منصات Windows لسنوات عديدة قادمة.

     كيف تدافع عن Mimikatz
    الدفاع ضد استخدام المهاجم لـ Mimikatz بعد الاستغلال يعد تحديًا. نظرًا لأن المهاجم يجب أن يكون له حق الوصول إلى الجذر في مربع Windows لاستخدام Mimikatz ، فقد انتهت اللعبة بالفعل من بعض النواحي. وبالتالي يصبح الدفاع مسألة احتواء الضرر والحد من المذبحة الناتجة.
    ومع ذلك ، فإن تقليل خطر تعرض أحد المهاجمين بامتيازات المسؤول من الوصول إلى بيانات الاعتماد في الذاكرة باستخدام Mimikatz أمر ممكن ويستحق المشكلة. تتمثل الميزة الكبيرة في قصر امتيازات المسؤول على المستخدمين الذين يحتاجون إليها بالفعل.

     تعتبر الترقية إلى Windows 10 أو 8.1 ، على الأقل ، بداية وستخفف من خطر قيام مهاجم باستخدام Mimikatz ضدك ، لكن هذا ليس خيارًا في كثير من الحالات. إن ربط هيئة الأمن المحلي (LSA) لمنع حقن الكود هو استراتيجية أخرى أثبتت فعاليتها في تخفيف المخاطر.
    يمكن أن يكون إيقاف تشغيل امتيازات تصحيح الأخطاء (SeDebugPrivilege) ذا فعالية محدودة أيضًا ، حيث يستخدم Mimikatz أدوات تصحيح أخطاء Windows المضمنة لتفريغ الذاكرة. سيؤدي تعطيل WDigest يدويًا على الإصدارات القديمة غير المجهزة من Windows إلى إبطاء المهاجم لمدة دقيقة أو دقيقتين .
    من الممارسات الشائعة للأسف إعادة استخدام كلمة مرور إدارية واحدة عبر المؤسسة. تأكد من أن كل مربع Windows لديه كلمة مرور المسؤول الفريدة الخاصة به. أخيرًا ، في نظام التشغيل Windows 8.1 والإصدار الأعلى من تشغيل LSASS في الوضع المحمي ، سيجعل Mimikatz غير فعال.
    إن اكتشاف وجود واستخدام Mimikatz على شبكة مؤسسة ليس حلاً سحريًا أيضًا ، لأن حلول الكشف الآلي الحالية لا تتمتع بمعدل نجاح مرتفع. من المحتمل أن يكون أفضل دفاع .
    التصنيف

    شارك المقالة
    ابلاغ عن مشكلة
    By at
    Labels:

    ليست هناك تعليقات:

    إرسال تعليق

    (( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))

    الاشتراك في: تعليقات الرسالة (Atom)

    السلام عليكم و رحمة الله و بركاته

    الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم

    مدونة نادي لينكس الاغواط الجزائري هي مدونة لتعريف على نظام لينكس وعلى بعض انوعه التوزيعات لينكس لتشجيع على استخدم النظام ربما يكون غير معروف للبعض الهدف هو تعميم والتعريف بالنظام لينكس هي بمثابة اول خطوة الى عالم لينكس ربما الكثير منا لا يعرف الكثير عنه وفي مدونة نادي لينكس الاغواط الجزائري

    بحث هذه المدونة الإلكترونية

    إجمالي مرات مشاهدة الصفحة

    نموذج الاتصال

    الاسم

    بريد إلكتروني *

    رسالة *