Mimikatz

Mimikatz는 윈도우상에서 각종 계정과 관련된 정보를 탈취하고 이를 해독하기 위한 도구이다. 공격자들이 악성 코드 등에 종종 포함하여 공격에 사용하는 도구로, LSA 메모리(암호가 평문으로 저장되어 있는)에서 WDigest 인증정보, 해시, PIN, 커버러스 티켓, 암호 등을 찾아내 탈취한다.

단, 현재 "로그인 중인 사용자 계정과 컴퓨터가 실행 중인 동안 로그인을 했던 사용자에 한해서만" 암호를 알아낼 수 있다.

Mimikatz는 Credential(암호화된 개인 정보. 개인이 사용하는 공개키 암호 알고리즘을 위한 공개키 / 개인키 쌍, 공인 인증기관이 발행하는 공개키 인증서 등등 암호정보의 총합)탈취를 위해 윈도우 SSO(single-sign-on) 기능을 악용한다. 윈도우 10 이전까지 윈도우는 기본적으로 WDigest라는 기능이 사용되었는데, 이는 암호화된 암호를 메모리에서 로딩함은 물로, 이를 복호화하기 위한 비밀 키도 로딩한다.

WDigest 프로토콜은 클라이언트가 RFC 2617 및 2831에 따라 HTTP (Hypertext Transfer Protocl) 및 SASL(Simple Authentication Security Layer) 응용 프로그램에 일반 텍스트 자격 증명을 보내는데 사용된다. Windows는 사용자가 로근인 할 때 편의를 위해 암호를 메모리에 저장한다.

* 윈도우 8.1 이후 이 기능을 비활성화 활 수 있도록 하였으며, 윈도우 10에서는 비활성화를 기본적으로 설정되어 있다. 하지만 여전히 Wdigest가 있으며, 관리자 권한을 얻은 공격자들은 간단히 이 기능을 활성화해서 Mimikatz를 실행시킬 수 있다.

Mimikatz로 가능한 다른 유용한 공격으로는 패스 더 해시(Pass-the-Hash) 공격, 패스 더 티켓(Pass-the-Ticket) 공격, 골드 커버러스 티켓 구둑 공격 등이 있다.

윈도우의 LSASS(Local Security Authority Subsystem Service) 프로세스는 메모리에 각종 계정에 대한 정보를 올려두고 상한다. 따라서 Mimikatz는 debug 모드를 통해 해당 프로세스에 붙어 계정 정보를 메모리로부터 획득한다.

LSASS(Local Security Authority Subsystem Service)는 시스템에서 보안 정책을 시행하는 Microsoft Windwos 운영 체제의 프로세스로 Windows 컴퓨터나 서버에 로그온 한 사용자를 확인하고 암호 변경을 처리하며, 액세스 토큰을 만든다. 또한 Windows 보안 로그에 기록한다.

Lsass.exe를 강제 종료하면 시스템이 NT AUTHORITY를 포함한 모든 계정에 대한 액세스 권한을 상실하여 시스템을 다시 시작하라는 메시지를 표시한다. 그만큼 중요한 시스템 프로세스이다.

Windows에서 사용하는 lsass. 파일은 %Windows%System32 경로에 존재하며, 다른 위치에 있을 경우 악성일 가능성이 높다.