Apa itu kucing mimik? Apa yang dapat dilakukan dan bagaimana melindungi diri sendiri
Mimikatz adalah program untuk mengekstrak kata sandi, hash, PIN, dan tiket Kerberos dari penyimpanan Windows. Ini adalah alat berbahaya untuk klien Windows yang mengarah pada pencurian data, kompromi sistem, atau bahkan kerusakan reputasi bagi perusahaan. Artikel ini menjelaskan Mimikatz dan fungsinya serta memberikan tip tentang cara melindungi diri sendiri.
Mimikatz adalah alat sumber terbuka yang digunakan oleh peretas untuk mencuri kredensial dan data sensitif lainnya dari komputer Windows yang disusupi. Itu merusak fungsionalitas Windows dan memungkinkan pengguna jahat untuk mengakses memori sistem dan token keamanan, mis. B. Tiket Kerberos, yang nantinya dapat digunakan untuk mendapatkan akses tidak sah ke informasi yang dibatasi. Kredensial yang diekstraksi oleh Mimikatz biasanya berupa kata sandi hash atau teks biasa. Aplikasi Mimikatz pertama kali dikembangkan pada tahun 2007 oleh peretas etis Prancis Benjamin Delpy yang ingin menunjukkan kerentanan sistem otentikasi Windows. Meskipun Mimikatz dibuat hampir dua dekade lalu, itu masih banyak digunakan oleh aktor jahat dan telah diperluas dan dikembangkan dengan berbagai cara. Peretas menggunakan Mimikatz untuk melakukan serangan “pass the hash” dan “pass the ticket” yang memungkinkan mereka mengakses sistem korban dengan kredensial yang dicuri. Ini adalah alat berbahaya di tangan penyerang yang dapat menyebabkan pelanggaran keamanan serius dan pencurian data sensitif dan rahasia. Oleh karena itu penting bagi perusahaan dan organisasi untuk mengambil semua tindakan pencegahan untuk melindungi sistem mereka dari Mimikatz, misalnya dengan menggunakan tambalan keamanan, perangkat lunak terkini, dan autentikasi multi-faktor.
Peretas mulai menggunakan Mimikatz{‘ ‘} untuk mengeksploitasi fitur Windows yang disebut WDigest, yang dirancang untuk memudahkan pengguna Microsoft memverifikasi identitas mereka saat mengakses aplikasi melalui Internet. Tepatnya, WDigest menyimpan kredensial dan secara otomatis menggunakannya kembali. Ketika Benjamin Delpy pertama kali meluncurkan serangan Mimikatz pada sistem Windows pada tahun 2011, Microsoft mengabaikan peringatannya, mengklaim bahwa ini bukan kerentanan yang sebenarnya karena peretas masih memerlukan akses ke hak administrator sebelum mengambil kata sandi yang disimpan pada sistem. Namun, peretas masih tertarik menggunakan Mimikatz untuk mengeksploitasi perangkat lunak otentikasi Microsoft untuk mendapatkan hak administrator, mencuri kata sandi terenkripsi, dan menggunakan komputer yang terinfeksi untuk mengakses beberapa perangkat di jaringan. Sejak itu, telah digunakan untuk serangan profil tinggi, termasuk serangan ransomware DigiNotar dan WannaCry yang terkenal. Meskipun Mimikatz adalah alat yang berbahaya, itu belum tentu merusak. Profesional keamanan dunia maya dan penguji penetrasi di seluruh dunia menggunakan alat yang sah ini untuk menguji dan mengaudit sistem. Namun, proliferasinya di antara para peretas membuatnya mendapatkan reputasi sebagai alat peretasan yang berbahaya.
Mimikatz adalah alat yang tujuan utamanya adalah untuk mengekstrak informasi sensitif dari sistem operasi Windows. Berikut adalah beberapa hal yang mampu dilakukan oleh alat Mimikatz:
Lewati hash. Penyerang menggunakan hash kata sandi yang dicuri untuk membobol sistem lain, memungkinkan mereka untuk bergerak di sekitar jaringan tanpa kata sandi yang sebenarnya.
Lewati hash. Penyerang melewati kunci unik yang diperoleh dari pengontrol domain, mengotentikasi sebagai pengguna istimewa, dan mendapatkan akses ke sumber daya sensitif seperti database, server, dan sistem penting lainnya.
meneruskan tiket. Peretas menggunakan Mimikatz untuk memecahkan protokol Kerberos. Itu meneruskan tiket Kerberos ke komputer lain, memungkinkannya untuk menyamar sebagai akun pengguna mana pun dan mengakses sumber daya apa pun.
Berikan kuncinya. Jenis serangan ini adalah varian lain dari Pass the Hash. Penyerang mengekstrak kunci enkripsi untuk membobol sistem sebagai pengganti hash kata sandi dan mendapatkan kredensial sensitif.
Manipulasi tiket Kerberos. Mimikatz dapat memanipulasi tiket Kerberos emas dan perak untuk mendapatkan akses ke sistem dan layanan yang dilindungi oleh autentikasi Kerberos. Meskipun alat Mimikatz biasanya digunakan untuk tujuan jahat dan harus dipantau secara hati-hati untuk mencegah akses tidak sah ke sistem dan data, profesional keamanan siber menggunakannya untuk tujuan yang sah seperti pengujian penetrasi dan analisis forensik. {SHORTCODES.blogRelatedArticles}
Mimikatz bukan malware. Namun, ini sering digunakan sebagai bagian dari serangan jahat dan karenanya dianggap sebagai alat peretasan yang berbahaya. Pelaku jahat menggunakannya untuk mengekstrak informasi sensitif dari sistem operasi Windows seperti kata sandi, nama pengguna, dan informasi domain, yang dapat mengelabui peretas agar mendapatkan akses tidak sah ke aplikasi dan sistem. Meskipun peretas sering menggunakan alat Mimikatz, itu tidak ilegal. Profesional dan penguji cybersecurity menggunakannya untuk mengelola patch, menangani akses istimewa, dan mendeteksi kerentanan sistem untuk mencegah peretasan dan malware.
Berikut adalah beberapa tindakan keamanan yang dapat Anda lakukan untuk mencegah serangan Mimikatz:
Nonaktifkan WDigest. WDigest menyimpan kata sandi Anda, menjadikannya fitur yang dapat dieksploitasi. Oleh karena itu, menonaktifkan protokol autentikasi ini dapat mengurangi kemungkinan peretas melancarkan serangan Mimikatz terhadap Anda. Edit registri untuk menonaktifkan WDigest guna mencegah penyerang mengeksploitasi kerentanan ini untuk mencuri kata sandi.
perlindungan LSA. Windows menggunakan subsistem Otoritas Keamanan Lokal (LSA) untuk memvalidasi akun pengguna dan login jarak jauh. Peretas mengeksploitasi layanan ini untuk mengakses data sensitif yang tidak terenkripsi seperti kata sandi dan tiket Kerberos. Perlindungan LSA mencegah akses tidak sah ke data sensitif. Mengaktifkan perlindungan LSA mencegah akses tidak sah ke data sensitif dengan membatasi akses ke proses LSA dan struktur data, mempersulit penyerang untuk berhasil mengeksekusi serangan Mimikatz.
hak istimewa debug. Sistem Windows memberikan administrator hak istimewa untuk men-debug sistem. Oleh karena itu, Mimikatz memerlukan izin debug untuk memeras data sensitif dari memori sistem. Menghapus hak debug dari akun pengguna dapat membantu membatasi kemampuan penyerang untuk melakukan serangan Mimikatz dan mengakses kredensial terenkripsi dan informasi sensitif lainnya.
Caching kredensial. Windows mencatat kredensial pada sistem lokal untuk mempercepat login pengguna di masa mendatang. Namun, penjahat dunia maya dapat mengakses kredensial yang di-cache ini dengan menjalankan serangan Mimikatz pada sistem lokal. Menonaktifkan caching kredensial dapat mencegah penyerang mengakses kredensial yang disimpan dan mempersulit mereka untuk berhasil melakukan serangan Mimikatz.
Selalu perbarui sistem Anda. Pastikan keamanan Windows, sistem operasi, dan semua perangkat lunak Anda diperbarui dengan tambalan keamanan terbaru. Ini dapat membantu menghilangkan kerentanan yang dieksploitasi oleh Mimikatz.
Gunakan password yang kuat dan unik. Gunakan kata sandi yang kuat, kompleks, dan unik yang sulit ditebak atau dipecahkan. Jangan pernah menggunakan kata sandi seperti “kata sandi” atau “123456”.
Terapkan autentikasi multifaktor. Siapkan autentikasi multifaktor (MFA) untuk menambahkan lapisan keamanan ke akun dan sistem Anda. Ini membantu melindungi akun Anda dari peretas, meskipun mereka sudah memiliki kredensial Anda.
Gunakan manajemen akses istimewa. Dengan menerapkan manajemen akses istimewa ke infrastruktur keamanan siber organisasi Anda, Anda dapat memantau dan mengontrol akses sistem. Ini dapat mencegah penyerang dunia maya mendapatkan hak istimewa administratif atas sistem dan data sensitif Anda.
Gunakan perangkat lunak anti-malware. Anda dapat mendeteksi dan mencegah serangan malware, termasuk yang menggunakan Mimikatz, dengan menginstal dan memperbarui perangkat lunak antimalware Anda secara rutin. Langkah-langkah keamanan ini dapat membantu melindungi sistem Anda dari serangan Mimikatz dan ancaman dunia maya lainnya.
Akses tidak sah ke titik akhir adalah penyebab utama pelanggaran data. Gunakan perlindungan titik akhir dan perangkat lunak keamanan untuk mendeteksi dan memblokir binari Mimikatz yang diketahui, menerapkan pemantauan waktu nyata dengan EDR untuk mendeteksi perilaku yang mencurigakan, mengaktifkan umpan kecerdasan ancaman, menggunakan teknik analisis perilaku, dan memperbarui perangkat lunak Anda.
Analitik perilaku pengguna dan peristiwa dapat membantu mengidentifikasi perilaku abnormal dalam sistem internal dan akun pengguna. Memantau log sistem untuk aktivitas mencurigakan, seperti B. upaya login yang gagal dan perilaku tidak biasa dari pengguna resmi, dapat membantu mencegah serangan Mimikatz. Ini mengidentifikasi perilaku normal, memantau aktivitas yang tidak biasa, menandai aktivitas yang mencurigakan, dan menyediakan data forensik jika terjadi pelanggaran.