Toon posts:

Mimikatz aangetroffen in Windows installatie

Pagina: 1
Acties:

Acties:
  • +1Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09 13:39

Brahiewahiewa

boelkloedig

NMH schreef op donderdag 25 maart 2021 @ 17:00:
... Ervanuitgaande dat Mimikatz een "nieuwe" aanwinst is...
Denk dat dat een verkeerd uitgangspunt is.

Al zou de versie van ptgui die je geïnstalleerd hebt besmet zijn geweest, dan is het nog steeds onwaarschijnlijk dat er mimikatz "meegeleverd" zou zijn. Althans, normaal gesproken zijn malware verspreiders van plan om je passwords te stelen, je bestanden te encrypten of je computer te misbruiken in een botnet. Bij deze activiteiten speelt mimikatz geen rol. Daarnaast heeft mimikatz zelf geen verspreidings mechanisme dus zal er ook andere malware moeten zijn die in staat is mimikatz elevated op jouw systeem te kunnen draaien.

Eerlijk gezegd lijkt de meest aannemelijke verklaring dat je zelf in een grijs verleden ooit eens kali-linux of een soortgelijke distro hebt gedownload, en toen de bijbehorende windows utilities alvast naar je windows VM hebt gekopieerd en het vervolgens vergeten. Mimikatz bestaat al 20 jaar.

Ander scenario zou zijn dat je idd onder attack ligt van een ransomware gang die jouw netwerk aanziet voor een bedrijfsnetwerk. In dat geval hoeft jouw windows VM niet gehackt te zijn maar kan het evengoed via één van je linux machines zijn binnengekomen.

Het hangt allemaal een beetje af van de vraag wat er precies gedetecteerd is, en daar ben je nogal vaag over. Is er een running process van mimikatz gedetecteerd? Of alleen de executables? Als alleen de executables gedetecteerd zijn: waar stonden die? In je program files of in je profile directory of in je downloads, misschien nog in de zip-file?

QnJhaGlld2FoaWV3YQ==


Acties:
  • Beste antwoord
  • +2Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 16:30

sh4d0wman

Long live the King!

Met Brahiewahiewa, met name zijn laatste stuk, Mimikatz komt vaak mee in een semi-handmatige aanval zoals een rasomware campaign / supply chain attack (waarbij legitieme software via het update mechanisme een dropper pusht).

Start even je Windows VM zonder netwerk op en check wat er precies gedetecteerd is. Uiteraard ook de rest van je netwerk onderzoeken, met extra aandacht voor NAS en IOT.

edit: ik neem aan dat je Windows image / vm legit is. Dus van een officiele MS DVD/ISO.

[Voor 10% gewijzigd door sh4d0wman op 26-03-2021 04:58]

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


Acties:
  • +1Henk 'm!

  • NMH
  • Registratie: Oktober 2015
  • Laatst online: 16:18

NMH

Moderator General Chat
Topicstarter
Brahiewahiewa schreef op vrijdag 26 maart 2021 @ 04:01:
Daarnaast heeft mimikatz zelf geen verspreidings mechanisme dus zal er ook andere malware moeten zijn die in staat is mimikatz elevated op jouw systeem te kunnen draaien.
Ik had de indruk ook al gekregen dat Mimikatz zelf zich niet verspreiden kan.
Eerlijk gezegd lijkt de meest aannemelijke verklaring dat je zelf in een grijs verleden ooit eens kali-linux of een soortgelijke distro hebt gedownload, en toen de bijbehorende windows utilities alvast naar je windows VM hebt gekopieerd en het vervolgens vergeten.
Dat kunnen we wel uitsluiten denk ik. De Windows VM heb ik puur voor mijn fotografie hobby, in het bijzonder Photoshop en nu dus PTGui. Ik heb er zeker geen hacktools op geinstalleerd (ook niet op mijn Linux machine overigens). :)
Het hangt allemaal een beetje af van de vraag wat er precies gedetecteerd is, en daar ben je nogal vaag over. Is er een running process van mimikatz gedetecteerd? Of alleen de executables? Als alleen de executables gedetecteerd zijn: waar stonden die? In je program files of in je profile directory of in je downloads, misschien nog in de zip-file?
Excuses voor de vaagheid, daar baal ik zelf ook van. Ik heb eigenlijk direct nadat ik de melding kreeg de boel afgesloten (safety first, en ik stond sowieso al op het punt om af te sluiten want het was laat). Ik had even een screenshot moeten maken, want ik moest nu ook zelf moeite doen om de details nog te herinneren. Volgens mij was het iets op de schijf (as opposed to een lopend proces).
sh4d0wman schreef op vrijdag 26 maart 2021 @ 04:57:
Start even je Windows VM zonder netwerk op en check wat er precies gedetecteerd is. Uiteraard ook de rest van je netwerk onderzoeken, met extra aandacht voor NAS en IOT.
Dit is wel een goede. Ik heb ondertussen zoals gezegd al wel een backup teruggezet (ook omdat ik geen behoefte had om een backup te maken van een mogelijk besmette VM), maar als ik tijd heb (hopelijk dit weekend) zal ik wel even de virtuele netwerkkabel er uit trekken (en de shared folders uitzetten) en kijken of er nog wat te vinden is. Rest van het netwerk is vermoed ik minder spannend; wat android telefoons en tablets, een Linux laptop en een Windows laptop van een ander lid van het huishouden. Geen NAS en slimme apparaten (op een chromecast na die zelden aan staat). De Windows VM is via NAT verbonden met het netwerk van de host, dus hij zit niet rechtstreeks op het LAN (hoewel dat uiteraard niet waterdicht is).
edit: ik neem aan dat je Windows image / vm legit is. Dus van een officiele MS DVD/ISO.
Zekers. Netjes Windows 10 Pro op een USB stick aangeschaft in 2016. :) (Best een dure licentie gegeven hoe weinig ik het gebruik, maar ik wil het gewoon goed geregeld hebben.)

In ieder geval beiden bedankt voor de antwoorden tot dusver. Much appreciated. :)

Acties:
  • +1Henk 'm!

  • NMH
  • Registratie: Oktober 2015
  • Laatst online: 16:18

NMH

Moderator General Chat
Topicstarter
sh4d0wman schreef op vrijdag 26 maart 2021 @ 04:57:
Start even je Windows VM zonder netwerk op en check wat er precies gedetecteerd is. Uiteraard ook de rest van je netwerk onderzoeken, met extra aandacht voor NAS en IOT.
Dit heb ik zondag even gedaan. Virtuele netwerkkabel er uit, shared folders uitgezet en daarna een volledige scan uitgevoerd met zowel Windows Defender als McAfee:




Twee keer niets gevonden dus, wat op zich goed nieuws is. (Die statistieken zijn trouwens... twijfelachtig, de Windows defender scan was al meer dan een uur bezig en bij 600.000 files toen ik iets anders ben gaan doen.) Voor alle duidelijkheid, dit is dus nadat ik een backup van de VM heb teruggezet, dus op zich is het mogelijk dat er iets was dat nu weg is. Dat betekent ook dat de malware definities drie maanden oud zijn (geen netwerk, dus geen updates), maar als Mimikatz al een oudje is zoals @Brahiewahiewa is dat waarschijnlijk niet zo'n probleem.

Next order of business is denk ik om de netwerkkabel weer in te pluggen en updates (weer) te installeren en dan nog een keer het scan-ritueel doen zodra ik weer even tijd heb. Hopelijk houden we het schoon. :)

  • NMH
  • Registratie: Oktober 2015
  • Laatst online: 16:18

NMH

Moderator General Chat
Topicstarter
Ondertussen het netwerk weer aangesloten, alle teruggedraaide updates weer geinstalleerd, (nieuwe versie van) PTGui opnieuw geinstalleerd en weer twee keer een full scan gedaan:


Twee keer niets.

Het lijkt dus allemaal weer OK. Het zit me allemaal niet echt lekker wat er gebeurd is, maar ik ga er voorlopig maar van uit dat het allemaal weer in orde is. @Brahiewahiewa en @sh4d0wman, ontzettend bedankt voor het meedenken; dat is bijzonder fijn als je in uncharted territory bent. :)
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee