如何在局域网上检测mimikatz的使用

Question

我的老板已经明确表示，我们需要更好的方法来检测网络上使用mimikatz的情况--我也同意。已经准备好用于检测的是suricata/ET规则，设置在几个水龙头上。mimikatz的这些签名包含在ET攻击响应类中。这是很棒的，但不是最优的，因为使用必须跨越"internet“或”数据中心“才能被分析人员看到，甚至依赖于所写签名的质量和粒度。因此，我感兴趣的是在主机级别上寻找检测mimikatz的选项或想法。我能够同时从许多主机中提取属性，同时使用一些本地开发的线程和Python。我只想知道该找什么？米米卡茨留下面包屑了吗？或者更好的是，在不同的平台使用情况下，是否有像进程名或可执行路径这样的目标性的东西呢？我正在Windows环境中搜索mimikatz --我发现唯一有趣的是向LSASS注入蜂蜜凭据的概念--但这需要是一个具有管理权限的启动脚本，而且我不希望端点上有管理权限。(注射卡是假的，但要击中LSASS，您必须是本地机器上的管理员。)必须有其他方法在几乎实时的情况下检测mimikatz，对吗？

Answer 1

SANS首先发表了一篇文章，介绍了您正在寻找的内容--网络上检测mimikatz的一种方法-- https://isc.sans.edu/diary/Detecting+Mimikatz+Use+On+Your+Network/19311/。

但是，请记住，mimikatz有能力进行Kerberos攻击-- https://dfir-blog.com/2015/12/13/protecting-windows-networks-kerberos-attacks/ --以及PtH攻击-- https://dfir-blog.com/2015/11/08/protecting-windows-networks-defeating-pass-the-hash/。

更多关于Kereberos攻击背后的理论，可从Microsoft获得，包括他们对检测的建议-- https://www.blackhat.com/docs/eu-15/materials/eu-15-Beery-Watching-The-Watchdog-Protecting-Kerberos-Authentication-With-Network-Monitoring.pdf。

这个站点还有一些我以前从未见过的有趣的日志分析技术-- http://securitynik.blogspot.com/2016/03/learning-about-mimikatz-skeletonkey_96.html。

最后，一个好的防御措施还将包括一些缓解和预防-- https://jimshaver.net/2016/02/14/defending-against-mimikatz/ --然而，记住mimikatz是用GoLang和Powershell重写的，所以当你试图阻止一个消息灵通的攻击者时，你的里程可能会有所不同。