Mimikatz en la actualidad
Mimikatz sigue siendo una herramienta relevante y en muchos casos efectiva incluso en sistemas operativos modernos como Windows 10 y Windows 11. Sin embargo, las mejoras continuas en la seguridad de estos sistemas han incrementado las dificultades para que herramientas como Mimikatz funcionen tan eficientemente como lo hacían en versiones anteriores de Windows. Algunas de las razones por las que Mimikatz podría encontrarse con problemas en sistemas más nuevos incluyen:
Credential Guard: Es una característica de seguridad que utiliza la virtualización basada en hardware para aislar las credenciales de manera que solo el software de sistema privilegiado pueda acceder a ellas. Credential Guard hace que sea mucho más difícil para Mimikatz extraer credenciales de la memoria.
Windows Defender: El antivirus y anti-malware integrado en Windows ha mejorado significativamente en los últimos años, con capacidades avanzadas de detección y respuesta que pueden reconocer y detener a Mimikatz.
Protección de la integridad del código (Code Integrity): La implementación de la protección de la integridad del código en modo kernel y usuario ayuda a prevenir la inyección de código malicioso que herramientas como Mimikatz podrían utilizar para extraer credenciales.
Advanced Threat Protection (ATP): Windows Defender ATP es una solución empresarial que ofrece detección post-violación, investigación automatizada y respuesta a incidentes, lo que reduce considerablemente la ventana de oportunidad para herramientas como Mimikatz.
Patch Management: Microsoft libera actualizaciones regulares que cierran vulnerabilidades que herramientas como Mimikatz explotan, lo que significa que en un sistema bien mantenido y actualizado, las tácticas antiguas pueden no ser efectivas.
Mejoras en LSASS: El servicio Local Security Authority Subsystem Service (LSASS), que maneja el proceso de autenticación en Windows, ha sido reforzado a lo largo del tiempo para hacer más difícil que herramientas como Mimikatz lean la memoria del proceso y obtengan credenciales.
User Account Control (UAC): UAC y otras características de seguridad han sido fortalecidas para prevenir la escalada de privilegios, algo que Mimikatz necesita para funcionar eficazmente.
Políticas de Seguridad Mejoradas: Políticas de grupo y configuraciones pueden ser aplicadas para restringir la ejecución de scripts y herramientas desconocidas, lo cual puede impedir el lanzamiento de Mimikatz.
A pesar de estos avances, un atacante que tenga suficiente conocimiento y acceso puede modificar o emplear versiones de Mimikatz que estén actualizadas o personalizadas para evadir las defensas de seguridad actuales. Además, en sistemas no actualizados o mal configurados, Mimikatz aún puede ser una amenaza considerable. Por lo tanto, sigue siendo importante para los administradores de sistemas y profesionales de la seguridad mantenerse al tanto de las actualizaciones de seguridad y las mejores prácticas de mitigación de amenazas.
Si quieres aprender a desarrollar herramientas como Mimikatz INDETECTABLES, te recomendamos nuestro curso: https://spartan-cybersec.com/cursos/redteams-ops-developer/
Última actualización