Archives par mot-clé : mimikatz

gentilkiwi @ Eurotrash Security Podcast (épisode 48)

Publié le par
Répondre

Il y a quelques semaines, Chris John Riley me proposait une petite interview pour Eurotrash Security, dans leur Podcast, disponible sur SoundCloud

Avec Chris John Riley, Wicked Clown et Dale Pearson, j’y ai abordé mimikatz, son histoire, ses fonctionnalités, etc…

A écouter rapidement pour découvrir mon légendaire « frenglish ».
Heureusement que leur slogan est : « la sécurité avec de drôles d’accents » ;)
eurotrash

gentilkiwi @ RMLL 2014 (Libre Software Meeting 2014)

Publié le par
2

sthack_elephant

Christophe Brocas m’a proposé un événement qui m’est un peu particulier : les 15èmes Rencontres Mondiales du Logiciel Libre (RMLL / LSM).

Mon attachement sur certains aspect à Windows ne laisse pas facilement deviner que j’apprécie la philosophie du libre ! Pourtant mimikatz l’est totalement, et opensource ;)

J’aurais donc la chance de participer à la track Sécurité des RMLL et présenterai donc mimikatz et ses nouveautés Mercredi 9 Juillet à 10:10 sur le campus du Triolet de l’UM2 (Université de Montpellier) – Salle SC002.

Au programme : « mimikatz, un petit voyage au cœur de la mémoire du service de sécurité Windows », des mots de passe, des hash, des clés, des tickets d’or… https://2014.rmll.info/conference80

N’oubliez pas d’aller voir toutes les autres conférences : https://2014.rmll.info/schedule, (et en particulier la track sécurité :P https://2014.rmll.info/theme26).

gentilkiwi @ St’Hack 4.0

Publié le par
2

sthack_elephant

Agix a eu la gentille idée de m’inviter à Bordeaux pour la 4ème édition de la St’Hack.

Je présenterai donc mimikatz et ses nouveautés Vendredi 14 Mars à 15h50 au CAPC (https://goo.gl/maps/QtwvV)

Venez assister à plusieurs conférences de sécurité et serrer la patte d’un gentilkiwi !
Programme disponible à l’adresse https://www.sthack.fr/fr/talks

J’essayerai de faire des stickers mimikatz cette fois ;)

Au programme :

Présentation de méthodes de récupération et de rejoue des données d’authentification Windows

  • Faiblesse des gestionnaires de sécurité et améliorations sous Windows 8.1 ;
  • Utilisation de moyens matériel, une solution ? ;
  • Quelques petits à-côtés pour les survivants.

sthack

mimikatz 2.0 et observations

Publié le par
3

Changements

mimikatz_20

La version 2.0 de mimikatz apporte (heureusement) son lot de nouveautés :

  • Liée à la compilation aux runtimes par défaut (plus léger)
  • Gestion d’une sortie fichier
  • Gestion des minidumps pour l’extraction de données depuis LSASS
  • Meilleure gestion de l’impersonation
  • Amélioration de la communication et de la stabilité du pilote
  • Création d’un Security Support Provider / Password Filter
  • Prise en charge des dernières versions de Windows

mimikatz 2.0 est maintenant la version de référence dans les téléchargements.
La version 1.0 précédente reste disponible dans le répertoire « old » pendant encore quelques semaines.

Visiteurs assidus

* d’après Google Analytics… les données sont donc faussées par les navigateurs bloquant certains scripts / pays n’autorisant pas Google

world statistics

  1. France
  2. United States
  3. China
  4. Russia
  5. Spain
  6. United Kingdom
  7. Germany
  8. Canada
  9. India
  10. Switzerland

Une mention spéciale à Microsoft qui semble se passionner :
microsoft
La langue française sans doute…

Critiques

  1. Beaucoup de sites/blogs font encore référence à la version 1.0, ainsi qu’à l’injection de la DLL pour obtenir des mots de passe (via sekurlsa.dll)…
    Pourtant :

    • la lecture de mot de passe en clair sans injection/librairie externe est disponible depuis l’été 2012
    • la version 2.0 « alpha » est, elle, disponible depuis le premier trimestre 2013
  2. Il va vraiment falloir que je mette à jour toute la documentation…

mimikatz n’aime pas les Detours

Publié le par
Répondre

peng_flowers

Un nombre relativement important de produits de sécurité utilise maintenant la librairie Detours de Microsoft.

Cette librairie facilite la mise en place de hooks inline dans ses propres applications, ou dans des processus externes via l’injection d’une librairie.

Software package for re-routing Win32 APIs underneath applications.

http://research.microsoft.com/projects/detours/

Ces hooks, qu’ils soient posés via Detours ou non, s’opèrent majoritairement par le remplacement des 5 premiers octets d’une fonction par un saut inconditionnel vers une autre fonction.
pour des contrôles de sécurité, modifier des paramètres, altérer le comportement, journaliser…

Mais où se trouvent ces hooks ?
Une petite commande a été codé rapidement : misc::detours

  .#####.   mimikatz 2.0 alpha (x64) release "Kiwi en C" (Aug 24 2013 20:44:17)
 .## ^ ##.
 ## / \ ##  /* * *
 ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 '## v ##'   http://blog.gentilkiwi.com/mimikatz
  '#####'                                    with   8 modules * * */

mimikatz # misc::detours
AcroRd32.exe (1020)
	kernel32.dll ! CreateProcessA           0000000074E91072 -> 0000000000230070
	kernel32.dll ! CreateProcessW           0000000074E9103D -> 0000000000230030
	KERNELBASE.dll ! CreateEventW           00000000751C119F -> 0000000000240030
	KERNELBASE.dll ! OpenEventW             00000000751C11CF -> 0000000000240070
notepad.exe (4316)
	ntdll.dll ! LdrLoadDll                 	0000000076E57AC0 -> 000000006D5EE1C0	(SbieDll.dll)
	ntdll.dll ! LdrUnloadDll               	0000000076E53B10 -> 000000006D5ECF40	(SbieDll.dll)
	ntdll.dll ! NtAdjustPrivilegesToken    	0000000076E816C0 -> 000000006D5FAD60	(SbieDll.dll)
	ntdll.dll ! NtAlpcConnectPort           0000000076E819F0 -> 000000006D5E2FE0	(SbieDll.dll)
	ntdll.dll ! NtAlpcCreatePort            0000000076E81A00 -> 000000006D5E2E30	(SbieDll.dll)
	[...]
	USER32.dll ! UnregisterClassA           0000000076879E70 -> 000000006D5DA2A0	(SbieDll.dll)
	USER32.dll ! UnregisterClassW           000000007687D464 -> 000000006D5DA210	(SbieDll.dll)
plugin-container.exe (2616)
	USER32.dll ! GetWindowInfo              0000000074771BBF -> 00000000627EC6FD	(xul.dll)
FlashPlayerPlugin_11_8_800_94.exe (5516)
	kernel32.dll ! CreateProcessA           0000000074E91072 -> 00000000000A0070
	kernel32.dll ! CreateProcessW           0000000074E9103D -> 00000000000A0030
	KERNELBASE.dll ! CreateEventW           00000000751C119F -> 00000000000F0030
	KERNELBASE.dll ! OpenEventW             00000000751C11CF -> 00000000000F0070
	GDI32.dll ! AbortDoc                    00000000748F3ADC -> 0000000000120030
	GDI32.dll ! AddFontResourceW            00000000748ED2B2 -> 0000000000120BF0
	[...]
	ole32.dll ! OleGetClipboard             0000000074A8FDCD -> 00000000001500B0
	ole32.dll ! OleIsCurrentClipboard       0000000074A636B2 -> 0000000000150070
	ole32.dll ! OleSetClipboard             0000000074A60045 -> 0000000000150030
	MPR.dll ! WNetAddConnection2W           0000000072A94744 -> 00000000003200B0
	MPR.dll ! WNetGetResourceInformationW   0000000072A9389D -> 0000000000320070
	MPR.dll ! WNetGetUniversalNameW         0000000072A9D34E -> 0000000000320030

Vous pourrez facilement retrouver SandBoxie, EMET, Adobe, Flash, etc.
Peut-être même quelques antivirus ou HIPS…

La version alpha prenant en charge ces améliorations est disponible : http://blog.gentilkiwi.com/mimikatz (répertoire alpha)

(ne pas oublier privilege::debug pour inspecter les processus différents des siens)