大名鼎鼎的Mimikatz密码读取工具,险被俄罗斯黑客窃取

五年前,当本杰明·德尔皮(Benjamin Delpy)走进莫斯科总统酒店的房间时,发现一名身穿深色西装的可疑男子在使用他的笔记本。就在几分钟前,这名 25 岁的法国程序员匆匆跑到前台去投诉房间的网络状况。为了一场在附近主办的安全会议,他提前两天就到达了这里,结果发现酒店没有 Wi-Fi,网口也坏了。酒店的工作人员让德尔皮在前台等着维修人员过来,但他想回房间里等着所以拒绝了。

当德尔皮回来时,他就震惊地看到那个陌生人站在自己的办公桌旁,身旁还有一个黑色手提箱,在听到声响之后,快速缩回了键盘上的手。笔记本上 Windows 的登录界面还没有登进去,而这个人用英语咕哝了一句抱歉,说他刷错了门卡,然后趁德尔皮还没反应过来之前就逃出了房间。

德尔皮很快就知道了他的笔记本为什么会被人非法搜查,因为他在笔记本里存放了莫斯科会议上的主题演讲资料,其中包含了一个早期程序 Mimikatz。Mimikatz 能在极短的时间内从计算机内存中抓取 Windows 用户的密码,从而获得该计算机的访问权或者受害人在网络上的其他访问权。

和全世界的黑客一样,俄罗斯人也想拿到德尔皮的源代码。

在此后的几年中,德尔皮向公众公布了该代码,Mimikatz 已经成为一种无处不在的黑客渗透工具,入侵者们一旦打开缺口,就能迅速从一台联网设备跳到下一台。最近,Mimikatz 重新回到了人们的视线中,它成为了 NotPetya 和 BadRabbit的组成部分,而这两个勒索蠕虫已经击垮了乌克兰,并且蔓延到整个欧洲、俄罗斯和美国。 仅 NotPetya 就导致了马士基、默克和联邦快递等公司数千台电脑的瘫痪,已经造成 10 亿多美元的损失。

那些引发网络震动的涟漪,至少在某种程度上是由德尔皮随意编出来的程序所引发的。德尔皮表示,一位拒绝透露姓名的服务于法国政府机构的 IT 经理,最初将 Mimikatz 作副项目来开发,期望更加了解 Windows 的安全性能和 C 语言,同时意在向微软证明 Windows 密码中存在的安全漏洞。他的概念验证达到了预期效果,在最新版本的 Windows 中,微软更改了其认证系统,使系统更不易被类似 Mimikatz 的工具攻破。但此时,德尔皮的工具早已进入广大黑客的武器库中。德尔皮说:“虽然 Mimikatz 不是为攻击者设计的,但是它却帮助了他们,任何一个事物,有利就有弊。” 安全公司 Rendition Infosec 创始人兼渗透测试员杰克·威廉姆斯(Jake Williams)表示,即便在今天,尽管微软尝试修复系统漏洞,Mimikatz 仍然是一个强大的黑客工具。

窃取方法

Mimikatz 最初因其利用了 Windows 的 WDigest 功能而成为了核心的黑客资产。WDigest 旨在使公司和政府的 Windows 用户更方便地向内网或网络上的应用程序证明身份,它会将用户的身份验证信息保存在内存中,并自动重用它们,因此用户只需输入一次用户名和密码即可多次访问。

尽管 Windows 会将用户密码的副本加密,但系统也同样保留了密钥的副本以便解密。德尔皮说:“这就像把加密邮件和密钥同时放在邮箱里一样。” 德尔皮表示他已经向微软提出了潜在的安全问题,但该公司对他的提醒置之不理,认为不是什么大问题。毕竟,黑客想在内存中找到密码,就先要深度访问受害人的机器,这显然是不太容易做到的。微软曾在《连线》杂志的采访中回应了关于 Mimikatz 的问题,“只有在系统已经被破坏的前提下,该工具才能入侵,为了安全起见,我们建议用户遵循安全的操作方法,同时保持更新。”

但德尔皮在实践中发现,Windows 认证系统仍是一块强有力的跳板,黑客们一直借此扩大感染。如果用管理员权限运行一款恶意软件,那么它可以将加密的密码与解密的密钥一起从内存中窃取出来,然后用它们来访问网络上的另一台计算机。如果另一名用户登录到该计算机上,攻击者就可以在第二台计算机上运行相同的程序来窃取他们的密码,如此往复。

因此,德尔皮编写出了 Mimikatz 来证明微软存在的问题,“mimi”在法语中的意思是“可爱”,因此这个程序的全称是指“可爱的猫咪”。他在 2011 年 5 月公布了 Mimikatz,但没有开放源代码。德尔皮说他当时的态度是这样的,“你们既然不想修复系统,那我就来向世人证明你们的问题。事实证明微软需要好几年的时间才能修复系统,而期间黑客们也没闲着。” 不久,德尔皮在黑客论坛中看到中国用户在讨论 Mimikatz,并试图对其进行逆向工程。然后在 2011 的年中,他才发现 Mimikatz 被用于入侵外国政府网络。他在回忆时说道:“这种情况让我感觉非常非常的难受。”

2011 年 9 月,Mimikatz 被用于入侵 DigiNotar,其发布的认证证书是用于确保网站使用者的身份。据 Fox-IT 的安全研究人员表示,这种入侵让身份不明的黑客发出了伪造的证书,然后监视了数以千计的伊朗人。结果,DigiNotar 被网络浏览器列入黑名单,最终破产。

第二个穿西装的俄罗斯男人

在 2012 年初,德尔皮应邀在莫斯科举办的 Positive Hack Days 大会上进行了一场关于 Windows 安全问题的演讲。他仍然认为多数国家支持的黑客已经掌握了 Mimikatz 的代码。但即便是在酒店房间的那次接触之后,俄罗斯人还是不死心。当他在一座苏联老厂房里和一群黑客交谈之后,一个穿着深色西装的男人走近他,要求他把会议幻灯片和 Mimikatz 拷在 U 盘上,德尔皮照做了。然后,甚至在他离开俄罗斯之前,他还在 Github 上发布了的开源代码,既出于自身的安全考虑,也希望防御者能够借此抵御黑客的攻击。

2013 年,微软最终在 Windows 8.1 中增加了禁用 WDigest 的方法,以此防御了 Mimikatz 。在 Windows 10 中,微软默认禁用该项功能。但是,Rendition 的威廉姆斯指出,即使在今天,Mimikatz 还是能影响到很多他碰到的 Windows 机器,要么是因为这些机器没有升级系统,要么是因为他有权限启用 WDigest。

近年来,Mimikatz 要么被俄罗斯黑客用来攻击德国议会,要么是被 Carbanak 网络团伙用来犯下了“十亿美元大劫案”。但 NotPetya 和 BadRabbit 勒索蠕虫使用 Mimikatz 的方式却比较迂回:他们将攻击工具放在可自我传输的蠕虫中,同时将其与 EternalBlue 和 EternalRomance 黑客工具一起泄露给了 Shadow Brokers。这些工具允许恶意软件通过微软的服务器消息块协议传输到所有未针对攻击打补丁的接入系统。他们与 Mimikatz 一起打出的组合拳,最大程度地扩散了这些自动感染。德尔皮说:“当你把这两种技术混合起来时,它是非常强大的。”

尽管 Mimikatz 造成了这些攻击,但德尔皮并未因此疏远它。相反,他继续打磨着自己的作品,公开地讨论它,甚至在过去几年中为它增加了更多的功能。如今,Mimikatz 已经对 Windows 身份验证功能造成了重击,从窃取哈希密码传递身份认证信息,到在微软的 Kerberos 身份验证系统生成可替代身份令牌的虚假票据(Ticket),甚至是在 Chrome 和 Edge 浏览器中窃取自动填充的密码。不过德尔皮说,在利用 Windows 的安全问题之前,他会提前几个月向微软发出警告。

令人苦涩的密码试炼工具

Mimikatz 中的功能不是为了便宜犯罪分子和间谍,而是为了证明 Windows 的设计方式或公司及政府的使用方式都存在着安全问题和隐患。德尔皮说,毕竟,如果系统管理员限制用户的权限,Mimikatz 就无法获得管理员访问权限,也无法跳到其他计算机同时窃取更多的认证信息。加州大学伯克利分校安全研究员尼古拉斯·韦弗(Nicholas Weaver)表示,尽管如此,Mimikatz 仍然非常强大,德尔皮也不应该为此受到指责。他说:“要是说起来,如果没有出现 Mimikatz,还是会有其他的黑客工具。”

到最后,连微软都开始试着欣赏德尔皮的成果,邀请他在公司的蓝帽(Blue Hat)安全会议上发表了两次讲话,今年更是邀请他加入新版研究报告的评审委员会。至于德尔皮,他对自己的工作表示毫不后悔。比起把微软的漏洞留给间谍们独自享用,被俄罗斯间谍追踪对他而言并不算什么。他说:“我设计这个工具的目的是为了向微软证明这不是一个理论问题,这是一个真正存在的漏洞。要是没有真实的数据,没有可怕的数据,他们永远不会做任何改进的事情。”

参考链接

“德尔皮在黑客论坛中看到中国用户在讨论 Mimikatz,并试图对其进行逆向工程” 文中提到的是 “看雪论坛” 中的帖子

“逆向sekurlsa.dll_实现读内存获得开机密码” https://bbs.pediy.com/thread-156643.htm

“可怕的神器:抓取windows明文密钥–mimikatz”   https://bbs.pediy.com/thread-149236.htm

德尔皮(Benjamin Delpy)的博客 http://blog.gentilkiwi.com/

Mimikatz项目地址 https://github.com/gentilkiwi/mimikatz

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏我是攻城师

火狐浏览器已默认禁用Flash:用户仍可手动开启

3785
来自专栏程序人生

程序员装B指南

最近在朋友圈里,流行的是某岛国宅男各式装B指南,比如说假装有女友,假装结婚,假装周游列国。对于这些装B指南,程序君是不屑一顾的:真的程序猿(媛),敢于直面没有妹...

3409
来自专栏deed博客

用户再起诉360涉嫌垄 断

2014
来自专栏安恒信息

重磅发布 | 安恒于世界互联网大会首次发布“邮箱安全综合解决方案”

邮箱系统在互联网中扮演着重要的角色,个人、企业、政府等用户将邮箱系统作为通讯、传输文件的重要组成部分。邮箱系统保存着政府、党政机关、各企事业单位的大量敏感信息。...

1924
来自专栏Crossin的编程教室

电脑小白如何不被“勒索”

最近上了各大头条的勒索病毒我想大家都有所耳闻。不幸中招的朋友,请允许我拍拍你的肩膀。设身处地地想一下,眼看就要毕业了,结果论文没了……换了谁都不能忍啊。可是你也...

2629
来自专栏BIT泽清

收起装13的苹果审核指南,就告诉你到底怎么能过!

本文为作者在遍览诸多苹果商店审核指南文后愤然写下,以最容易被拒的地方房卡麻将闲游(无版权号)移动端手游APP为例。

944
来自专栏FreeBuf

追踪溯源 | 希拉里邮箱泄露事件

看了国外的几篇针对希拉里邮箱泄露事件的溯源分析,感觉基本上溯源算是失败了。黑了希拉里的人是什么动机?来自哪里?是川普派来的么?是第二次水门事件么?最终,答案都是...

1966
来自专栏FreeBuf

偷车其实很简单 | 你知道Android车控App有多不安全吗?

卡巴斯基实验室的安全研究人员最近发现:黑客可以仅仅通过侵入Android车控App轻易解锁汽车,上百万汽车深陷被窃危机。 汽车控制App现在越来越流行了,这些应...

20010
来自专栏FreeBuf

揭秘:短信拦截木马背后的黑色产业

0×01 概述 从2013年5月至今,AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马,顾名思义是一种可以拦截他人短信木马,就是让被...

2298
来自专栏FreeBuf

Linux下恶意文件大规模共性分析探讨

有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行...

2026

扫码关注云+社区