A cura di Max Heinemeyer, Director of Threat Hunting di Darktrace
Il movimento laterale rappresenta una fase fondamentale dell’attacco informatico. Una volta che l’attaccante ha stabilito una connessione alla rete interna, infatti, potrà procedere dando vita a un’escalation in grado di compromettere i sistemi aggiuntivi e gli account degli utenti con l’obiettivo di espandere sempre di più i punti di appoggio e identificare i sistemi che ospitano i dati in target.
In questo contesto si diffonde sempre maggiormente l’utilizzo di Mimikatz, un tool che si è rivelato fondamentale per portare a termine attacchi ransomware globali estremamente noti come NotPetya e BadRabbit, oltre che i presunti attacchi russi al parlamento tedesco nel 2015 e nel 2017.
Mimikatz è stato originariamente creato dal famoso programmatore francese Benjamin Delpy per evidenziare i difetti di sicurezza nei meccanismi di autenticazione di Windows. Delpy rilasciò Mimikatz come software open source, non certo per facilitare le attività dei criminali informatici quanto per dimostrare quella che viene definita una gestione assai superficiale delle credenziali degli utenti da parte di Windows. Oggi il tool, con le sue numerose evoluzioni, rappresenta un modulo post-exploitation fondamentale, che non può mancare nell’arsenale di ogni cyber-criminale che si rispetti, proprio perché facilita il movimento laterale all’interno della rete target.
Mimikatz è stato progettato per recuperare tutte le password gestite da Windows sfruttando le vulnerabilità del Local Security Authority Subsystem Service (LSASS) di Windows. Questo servizio, progettato per evitare agli utenti il fastidio di doversi nuovamente autenticare ogni volta che cercano di accedere alle risorse interne, anche se utile, presenta numerosi rischi perché funziona mantenendo una cache di tutte le credenziali utilizzate dall’ultimo avvio, con una vulnerabilità evidente per la sicurezza nel caso in cui la cache venga compromessa. Mimikatz saccheggia questa risorsa e consente agli utenti di accedere alle password cleartext e ai protocolli di sicurezza Microsoft NTLM. Con questi dati alla mano, gli aggressori sono in grado di condurre una serie preoccupante di attacchi, rubando ad esempio le credenziali amministrative per l’intero dominio, ottenendo dei ticket in grado di accedere a qualsiasi servizio di rete o altro ancora.
In realtà, scaricare la memoria LSASS è solo uno dei metodi utilizzati da Mimikatz e dai suoi numerosi aggiornamenti che si sono susseguiti negli anni per migliorare ancora di più le tecniche per il furto delle credenziali.
Una volta che un malware come NotPetya si stabilisce su un singolo dispositivo, il modulo Mimikatz può sfruttare una varietà di falle di sicurezza per ottenere informazioni sulla password di qualsiasi altro utente o computer che abbia effettuato il login su quella macchina: un primo step fondamentale non solo per sfruttare il movimento laterale ma anche dal punto di vista dell’escalation dei privilegi.
Come molti strumenti di hacking di successo, Mimikatz ha ispirato la creazione di altri programmi con obiettivi simili, che sono in gran parte destinati a eludere i controlli degli antivirus.
L’intelligenza artificiale alle prese con le minacce nascoste
Una prima indicazione di base per i team di sicurezza è prestare attenzione riducendo il più possibile le vulnerabilità delle proprie reti a Mimikatz e più in generale ai movimenti laterali, assicurando che ciascun utente disponga di una quantità minima di privilegi, solamente quelli necessari a svolgere il proprio ruolo.
Si tratta di una misura prudente da adottare, anche se purtroppo non sempre sufficiente.
Quando ci si trova a dover affrontare minacce sofisticate, infatti, l’implementazione di strumenti di sicurezza degli endpoint e di software antivirus basati su regole e firme, per rilevare le varianti note di Mimikatz, può non essere abbastanza efficace. Mimikatz e i tool simili continuano ad evolversi e gli strumenti tradizionali rimangono imbrigliati in un incessante gioco del gatto col topo, incapace di individuare le varianti ancora sconosciute di Mimikatz, progettate specificamente per aggirarli.
I sistemi di intelligenza artificiale come Darktrace, affrontano la sicurezza in modo sostanzialmente differente, imparando “on the job” il comportamento normale degli utenti e dei dispositivi nella rete che proteggono, senza ricorrere a regole e firme prefissate. Questo approccio avvisa i difensori di qualsiasi attività anomala, indipendentemente dal fatto che tale attività costituisca una minaccia nota o sconosciuta.
In genere, il movimento laterale che coinvolge Mimikatz comporta un picco insolito di attività SMB (Server Message Block), poiché gli aggressori cercano di inscrivere lo strumento per colpire i dispositivi. L’approccio basato sull’intelligenza artificiale di Darktrace non si basa su una stringa di ricerca per il termine “mimikatz.exe”; piuttosto, evidenzia questi comportamenti insoliti che possono comunemente essere ricondotti all’attività di Mimikatz e identifica anche le più sottili deviazioni dal “modello normale di comportamento” del cliente.
In conclusione, se col suo ingresso nel panorama delle minacce informatiche, Mimikatz è diventato un mezzo altamente efficace per gli hacker che si muovono lateralmente all’interno delle reti aziendali e governative, ritengo che solo una cyber IA proattiva possa consentire ai team di sicurezza di reagire prima che gli aggressori riescano a saccheggiare l’intera cache di password della rete, in modo da ostacolare sia Mimikatz sia le sue tante e sempre nuove imitazioni.