Detectar el uso de Mimikatz en la red ("Honey Hash Tokens")

La opción /netonly del comando runas se utiliza para lanzar un programa como un usuario que existe en una máquina remota. El sistema acepta el nombre y la contraseña para ese usuario remoto y crea un token de autenticación en la memoria de su proceso LSASS sin ninguna interacción con el host remoto.

¿Qué pasa si ejecutamos el siguiente comando en nuestro equipo Windows?

runas /user:microsoft.com\administrator /netonly cmd.exe
 
El comando que se ejecuta en realidad no tiene ningún acceso elevado en la máquina y la contraseña no es válida, evidentemente no es una amenaza para Microsoft. Windows no intenta autenticarse en el dominio Microsoft.com para iniciar el proceso. Asume que las credenciales son correctas, calcula el hash y lo almacena en la memoria para su uso futuro.

Más adelante, si se intenta acceder a un recurso en ese dominio, automáticamente se "pasará el HASH" al sistema remoto para entrar. Pero hasta que se intente acceder al host remoto, las contraseñas se quedan almacenadas en memoria.


¿Qué significa eso? Pues que podemos "inundar" nuestro sistema de credenciales falsas para ponérselas en bandeja memoria a un atacante. Por ejemplo:

mimikatz # privilege::debug
Privilege '20' OK

mimikatz # sekurlsa::logonPasswords full

Authentication Id : 0 ; 3420125 (00000000:002c38b2)
Session           : NewCredentials from 0
User Name         : usuario
Domain            : dominio
SID               : S-1-5-21-2342468007-2769232512-6969471351-1000
        msv :
         [00000003] Primary
         * Username : administrator
         * Domain   : microsoft.com
         * NTLM     : d139627ea1a54be9b04f2158a4d10b93
         * SHA1     : 2c19cfd8f7a112f29a7183e8ed4db7e68e714049
        tspkg :
        wdigest :
         * Username : administrator
         * Domain   : microsoft.com
         * Password : falsa
        kerberos :
         * Username : administrator
         * Domain   : microsoft.com
         * Password : falsa
        ssp :
        credman :

Es es el resultado de nuestros "Honey Hash Tokens" (ver también honeytoken). Cualquiera que utilice mimikatz, meterpreter, procdump.exe u otra herramienta para robar las contraseñas en memoria podrá llevarse a engaño. Evidentemente herramientas que obtienen los hashes en disco como hashdump no funcionarán.

Pero ahí está la idea: elegir un nombre de usuario creíble y que parezca que tenga privilegios elevados en el dominio, generar las credenciales falsas en la memoria de los servidores que están más en el punto de mira (por ejemplo los de la DMZ) y preparar alertas en la red para avisarnos de intentos de uso de estas cuentas falsas.

¡Buena caza!

Fuente: Detecting Mimikatz Use On Your Network

Comentarios