Toon posts:

Mimikatz aangetroffen in Windows installatie

Pagina: 1
Acties:

Vraag


  • NMH
  • Registratie: Oktober 2015
  • Laatst online: 16:18

NMH

Moderator General Chat
Topicstarter
Ik had niet verwacht dat ik een keer een topic in dit forumdeel zou openen, maar ik heb nu een dingetje waar ik wat advies kan gebruiken. :)

Een beetje context vooraf: ik heb een jaar of tien geleden Windows vrijwel volledig achter me gelaten; zowel voor mijn werk als prive gebruik ik vrijwel uitsluitend Linux. Gevolg daarvan is dat ik prima uit de voeten kan met Linux, maar dat mijn Windows-kennis behoorlijk weggezakt en out-of-date is. Ik gebruik Windows alleen nog sporadisch om Windows-only software te gebruiken voor mijn fotografie hobby (voornamelijk Photoshop); voor dat doel heb ik een Windows 10 VM op mijn Linux-machine die ik aanslinger als ik hem nodig heb.

Ik heb begin maart de VM weer eens afgestoft en een nieuw stuk software geinstallerd: PTGui, een tool om panoramas te stitchen. Een paar avonden later toen ik met mijn nieuwe speeltje bezig was kreeg ik een notification van Windows Defender dat er Mimikatz was aangetroffen (ik weet de precieze melding helaas niet meer). Wat Googlen leerde mij dat dit een tool is om authenticatie-credentials buit te maken, waarna ik de VM eerst maar even uitgezet om de zaak te laten bezinken en na te denken over vervolgstappen.

Voor nu ga ik er maar even van uit dat het geen false positive was en dat er dus meuk in mijn Windows VM zat die er niet thuis hoort. Ik heb ondertussen een backup van de VM van voor maart teruggezet, dus als dit een recente "aanwinst" was, dan zou het nu weg moeten zijn. (Ik heb er sindsdien wegens tijdgebrek nog niet weer naar gekeken.)

Wat ik me nu afvraag is hoe die troep binnengekomen is, aangezien ik (zeker in Windows) behoorlijk security conscious ben. Als ik de VM een tijd lang niet gebruikt heb dan laat ik hem bijvoorbeeld eerst netjes alle software updaten, zowel het OS zelf als de applicaties (waaronder McAfee). Verder wordt die VM eigenlijk alleen voor fotobewerking gebruikt, dus vrijwel niet om te browsen, te mailen, etc. Alle software is uiteraard legaal en netjes betaald, dus geen warez, cracks en dergerlijke of software van dubieuze oorsprong. Ervanuitgaande dat Mimikatz een "nieuwe" aanwinst is, kan ik twee mogelijke routes bedenken:
  • Via een exploit in Windows zelf. De VM was een goede twee maand niet gebruikt, dus Windows heeft onvermijdelijk even gedraaid met twee maanden achterstand aan updates terwijl de nieuwe updates geinstalleerd werden. Gevoelsmatig lijkt me dat niet heel waarschijnlijk.
  • De PTGui installer bevatte een ongewenst extraatje. Wat daar tegen pleit is dat ik a) de installer gescand heb met McAfee voor hem te starten en b) ik dan onderhand wel een mailtje of ten minste een melding op de PTGui site verwacht zou hebben.
Alternatief is dat Mimikatz al langer aanwezig was, maar dan had ik wel eerder een melding verwacht van Windows Defender. Bovendien is het niet zo dat er op een eerder moment wel een duidelijke
mogelijkheid was om binnen te komen; ik kan me bijvoorbeeld niet herinneren wanneer ik voor PTGui voor het laatst nieuwe software in Windows heb geinstalleerd.

Ik zit dus al met al met de nodige vragen. Hoe is het binnengekomen en voorkom ik een eventuele herintrede? Hoe kan ik het beste checken of de teruggezette versie van de VM "schoon" is? Alle antwoorden en overige inzichten zijn van harte welkom. :)

Beste antwoord (via NMH op 31-03-2021 21:11)


  • sh4d0wman
  • Registratie: April 2002
  • Nu online

sh4d0wman

Long live the King!

Met Brahiewahiewa, met name zijn laatste stuk, Mimikatz komt vaak mee in een semi-handmatige aanval zoals een rasomware campaign / supply chain attack (waarbij legitieme software via het update mechanisme een dropper pusht).

Start even je Windows VM zonder netwerk op en check wat er precies gedetecteerd is. Uiteraard ook de rest van je netwerk onderzoeken, met extra aandacht voor NAS en IOT.

edit: ik neem aan dat je Windows image / vm legit is. Dus van een officiele MS DVD/ISO.

[Voor 10% gewijzigd door sh4d0wman op 26-03-2021 04:58]

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.

Alle reacties

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee