Mimikatz aangetroffen in Windows installatie

Ik had niet verwacht dat ik een keer een topic in dit forumdeel zou openen, maar ik heb nu een dingetje waar ik wat advies kan gebruiken.

Een beetje context vooraf: ik heb een jaar of tien geleden Windows vrijwel volledig achter me gelaten; zowel voor mijn werk als prive gebruik ik vrijwel uitsluitend Linux. Gevolg daarvan is dat ik prima uit de voeten kan met Linux, maar dat mijn Windows-kennis behoorlijk weggezakt en out-of-date is. Ik gebruik Windows alleen nog sporadisch om Windows-only software te gebruiken voor mijn fotografie hobby (voornamelijk Photoshop); voor dat doel heb ik een Windows 10 VM op mijn Linux-machine die ik aanslinger als ik hem nodig heb.

Ik heb begin maart de VM weer eens afgestoft en een nieuw stuk software geinstallerd: PTGui, een tool om panoramas te stitchen. Een paar avonden later toen ik met mijn nieuwe speeltje bezig was kreeg ik een notification van Windows Defender dat er Mimikatz was aangetroffen (ik weet de precieze melding helaas niet meer). Wat Googlen leerde mij dat dit een tool is om authenticatie-credentials buit te maken, waarna ik de VM eerst maar even uitgezet om de zaak te laten bezinken en na te denken over vervolgstappen.

Voor nu ga ik er maar even van uit dat het geen false positive was en dat er dus meuk in mijn Windows VM zat die er niet thuis hoort. Ik heb ondertussen een backup van de VM van voor maart teruggezet, dus als dit een recente "aanwinst" was, dan zou het nu weg moeten zijn. (Ik heb er sindsdien wegens tijdgebrek nog niet weer naar gekeken.)

Wat ik me nu afvraag is hoe die troep binnengekomen is, aangezien ik (zeker in Windows) behoorlijk security conscious ben. Als ik de VM een tijd lang niet gebruikt heb dan laat ik hem bijvoorbeeld eerst netjes alle software updaten, zowel het OS zelf als de applicaties (waaronder McAfee). Verder wordt die VM eigenlijk alleen voor fotobewerking gebruikt, dus vrijwel niet om te browsen, te mailen, etc. Alle software is uiteraard legaal en netjes betaald, dus geen warez, cracks en dergerlijke of software van dubieuze oorsprong. Ervanuitgaande dat Mimikatz een "nieuwe" aanwinst is, kan ik twee mogelijke routes bedenken:

• Via een exploit in Windows zelf. De VM was een goede twee maand niet gebruikt, dus Windows heeft onvermijdelijk even gedraaid met twee maanden achterstand aan updates terwijl de nieuwe updates geinstalleerd werden. Gevoelsmatig lijkt me dat niet heel waarschijnlijk.
• De PTGui installer bevatte een ongewenst extraatje. Wat daar tegen pleit is dat ik a) de installer gescand heb met McAfee voor hem te starten en b) ik dan onderhand wel een mailtje of ten minste een melding op de PTGui site verwacht zou hebben.

Alternatief is dat Mimikatz al langer aanwezig was, maar dan had ik wel eerder een melding verwacht van Windows Defender. Bovendien is het niet zo dat er op een eerder moment wel een duidelijke
mogelijkheid was om binnen te komen; ik kan me bijvoorbeeld niet herinneren wanneer ik voor PTGui voor het laatst nieuwe software in Windows heb geinstalleerd.

Ik zit dus al met al met de nodige vragen. Hoe is het binnengekomen en voorkom ik een eventuele herintrede? Hoe kan ik het beste checken of de teruggezette versie van de VM "schoon" is? Alle antwoorden en overige inzichten zijn van harte welkom.

Brahiewahiewa schreef op vrijdag 26 maart 2021 @ 04:01:
Daarnaast heeft mimikatz zelf geen verspreidings mechanisme dus zal er ook andere malware moeten zijn die in staat is mimikatz elevated op jouw systeem te kunnen draaien.

Ik had de indruk ook al gekregen dat Mimikatz zelf zich niet verspreiden kan.

Eerlijk gezegd lijkt de meest aannemelijke verklaring dat je zelf in een grijs verleden ooit eens kali-linux of een soortgelijke distro hebt gedownload, en toen de bijbehorende windows utilities alvast naar je windows VM hebt gekopieerd en het vervolgens vergeten.

Dat kunnen we wel uitsluiten denk ik. De Windows VM heb ik puur voor mijn fotografie hobby, in het bijzonder Photoshop en nu dus PTGui. Ik heb er zeker geen hacktools op geinstalleerd (ook niet op mijn Linux machine overigens).

Het hangt allemaal een beetje af van de vraag wat er precies gedetecteerd is, en daar ben je nogal vaag over. Is er een running process van mimikatz gedetecteerd? Of alleen de executables? Als alleen de executables gedetecteerd zijn: waar stonden die? In je program files of in je profile directory of in je downloads, misschien nog in de zip-file?

Excuses voor de vaagheid, daar baal ik zelf ook van. Ik heb eigenlijk direct nadat ik de melding kreeg de boel afgesloten (safety first, en ik stond sowieso al op het punt om af te sluiten want het was laat). Ik had even een screenshot moeten maken, want ik moest nu ook zelf moeite doen om de details nog te herinneren. Volgens mij was het iets op de schijf (as opposed to een lopend proces).

sh4d0wman schreef op vrijdag 26 maart 2021 @ 04:57:
Start even je Windows VM zonder netwerk op en check wat er precies gedetecteerd is. Uiteraard ook de rest van je netwerk onderzoeken, met extra aandacht voor NAS en IOT.

Dit is wel een goede. Ik heb ondertussen zoals gezegd al wel een backup teruggezet (ook omdat ik geen behoefte had om een backup te maken van een mogelijk besmette VM), maar als ik tijd heb (hopelijk dit weekend) zal ik wel even de virtuele netwerkkabel er uit trekken (en de shared folders uitzetten) en kijken of er nog wat te vinden is. Rest van het netwerk is vermoed ik minder spannend; wat android telefoons en tablets, een Linux laptop en een Windows laptop van een ander lid van het huishouden. Geen NAS en slimme apparaten (op een chromecast na die zelden aan staat). De Windows VM is via NAT verbonden met het netwerk van de host, dus hij zit niet rechtstreeks op het LAN (hoewel dat uiteraard niet waterdicht is).

edit: ik neem aan dat je Windows image / vm legit is. Dus van een officiele MS DVD/ISO.

Zekers. Netjes Windows 10 Pro op een USB stick aangeschaft in 2016. (Best een dure licentie gegeven hoe weinig ik het gebruik, maar ik wil het gewoon goed geregeld hebben.)

In ieder geval beiden bedankt voor de antwoorden tot dusver. Much appreciated.

sh4d0wman schreef op vrijdag 26 maart 2021 @ 04:57:
Start even je Windows VM zonder netwerk op en check wat er precies gedetecteerd is. Uiteraard ook de rest van je netwerk onderzoeken, met extra aandacht voor NAS en IOT.

Dit heb ik zondag even gedaan. Virtuele netwerkkabel er uit, shared folders uitgezet en daarna een volledige scan uitgevoerd met zowel Windows Defender als McAfee:




Twee keer niets gevonden dus, wat op zich goed nieuws is. (Die statistieken zijn trouwens... twijfelachtig, de Windows defender scan was al meer dan een uur bezig en bij 600.000 files toen ik iets anders ben gaan doen.) Voor alle duidelijkheid, dit is dus nadat ik een backup van de VM heb teruggezet, dus op zich is het mogelijk dat er iets was dat nu weg is. Dat betekent ook dat de malware definities drie maanden oud zijn (geen netwerk, dus geen updates), maar als Mimikatz al een oudje is zoals @Brahiewahiewa is dat waarschijnlijk niet zo'n probleem.

Next order of business is denk ik om de netwerkkabel weer in te pluggen en updates (weer) te installeren en dan nog een keer het scan-ritueel doen zodra ik weer even tijd heb. Hopelijk houden we het schoon.

Ondertussen het netwerk weer aangesloten, alle teruggedraaide updates weer geinstalleerd, (nieuwe versie van) PTGui opnieuw geinstalleerd en weer twee keer een full scan gedaan:


Twee keer niets.

Het lijkt dus allemaal weer OK. Het zit me allemaal niet echt lekker wat er gebeurd is, maar ik ga er voorlopig maar van uit dat het allemaal weer in orde is. @Brahiewahiewa en @sh4d0wman, ontzettend bedankt voor het meedenken; dat is bijzonder fijn als je in uncharted territory bent.