Computer "Mimikatz" in der Ereignisanzeige geloggt

[Der Turl]

Hatte vor einigen Tagen den Eintrag "Computername: Mimikatz" mit einem fehlerhaften Logon Versuch auf einem Windows Server 2016. Zeitgleich liefen Windows Updates auf diesem Server und die Mimikatz Informationen hatten den selben Zeitstempel wie die Logeinträge von "Windows Update" und"Bits (Intelligenter Hinterggrundübertragungsdienst)". Dies erscheint mir eher ungewöhnlich zumal man Mimikatz doch kennt. Scanner haben jedoch keine Bedrohung gefunden. Einige der User waren danach am AD gesperrt weil es Fehlversuche beim Logon auf deren Konten gab. So und nun ist guter Rat teuer !

 

[User007]

Hallo auch erstmal...

Steckt da jetzt auch 'ne bestimmte Frage dahinter?

 

[SpiII]

Was ist Mimikatz?

 

[Hermit the Frog]

@Spillunke eventuell das hier?

 

[BFF]

Generell kann ich mir vorstellen das jemand sein privates Gerät bei Euch im Netz betreibt.

Das ihr gehackt seid kann sein. Glaub ich noch nicht wirklich, weil Gute hinterlassen nicht solche Log Einträge.

Eure IT-Administration soll sich durch die Logs hechten, finden wo was angeploppt war und die Maßnahmen ergreifen die jetzt angebracht wären.

 

[kartoffelpü]

Ich würde es auch erst mal ähnlich einschätzen wie @BFF. Schätze, dass sich da ein Mitarbeiter mal als Skript-Kiddie versuchen wollte.
Versucht, aus Logs mehr Informationen zu dem Computer namens Mimikatz herauszufinden (IP-Adresse, MAC-Adresse, dann Firewall-Logs, Switch-Logs etc mit den gewonnenen Informationen durchsuchen).

 

[Conqi]

weil Gute hinterlassen nicht solche Log Einträge.

Jein. Es kann halt jemand sein, der nicht so gut ist, alles zu verschleiern, aber gut genug um Schaden anzurichten. Abseits davon ist vielen Hackern auch egal, ob sie Spuren hinterlassen. Wenn die Daten verschlüsselt und/oder aus dem Unternehmen getragen sind, helfen die Logdateien schließlich auch nicht mehr außer zu wissen, dass da jemand war, was man dann sowieso weiß.

Es gilt jetzt auf jeden Fall rauszufinden, woher der Login kam. Wenn auch noch Userkonten gesperrt waren, ist auch jeden Fall irgendwas passiert. Eventuell auch das Geld in die Hand nehmen und Experten beauftragen, wenn intern das nötige Wissen nicht vorhanden ist, um das nachzuvollziehen. Auf jeden Fall sollte jetzt aber ein Backup von vor dem Vorfall gut verwahrt werden.

 

[Der Turl]

Ich würde es auch erst mal ähnlich einschätzen wie @BFF. Schätze, dass sich da ein Mitarbeiter mal als Skript-Kiddie versuchen wollte.
Versucht, aus Logs mehr Informationen zu dem Computer namens Mimikatz herauszufinden (IP-Adresse, MAC-Adresse, dann Firewall-Logs, Switch-Logs etc mit den gewonnenen Informationen durchsuchen).

tja das war direkt am server und kein computer oder anderes gerät ! der absolut gleiche zeitstempel mit windows update macht da eher sorgen. könnte das betriebsystem selbst kompromittiert sein ? erlaubt sich MS hier einen spaß ?

was ist mimikatz: https://de.wikipedia.org/wiki/Mimikatz

 

[User007]

erlaubt sich MS hier einen spaß ?

Wie kommst Du denn auf das schmale Brett?

Die fabrizieren zwar zunehmend Schwachsinniges aber wohl doch auch nicht absichtlich mit Vorsatz, um ihre Kundschaft zu schädigen - wenn dann eben eher aus fahrlässiger Dummheit. 🤷‍♂️​

könnte das betriebsystem selbst kompromittiert sein ?

Möglich ist vieles!

der absolut gleiche zeitstempel mit windows update macht da eher sorgen.

Und was ergeben die Logs dazu?

 

[BFF]

erlaubt sich MS hier einen spaß ?

Nein.
Solch Art Tools sind nicht zur Bespassung da.

Und wenn Du die IT bist, würde ich sehr schnell nach Unterstützung rufen.

tja das war direkt am server und kein computer oder anderes gerät ! der absolut gleiche zeitstempel mit windows update macht da eher sorgen.

Nur bei Server OS ist die Protokollierung an, bei schnöden Client OS nicht wirklich.

 

[Der Turl]

5805,ERROR,NETLOGON,Mon May 08 17:40:36 2023,No User,Die Sitzungseinrichtung von Computer mimikatz konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten: Der Vorgang wurde erfolgreich beendet. 5

7036,INFORMATIONAL,Service Control Manager,Mon May 08 17:34:39 2023,No User,Die Sitzungseinrichtung von Computer mimikatz konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten: Der Vorgang wurde erfolgreich beendet. 5

--------------------
Das sind die Einträge der Ereignisanzeige aus dem Protokoll Sicherheit und System

 

[LasseSamenström]

einem Windows Server 2016.

Was macht der überhaupt? Terminalserver?

 

[Der Turl]

AD + Exchange

 

[Conqi]

Wie groß ist die Firma eigentlich, wenn ich mal fragen darf? Exchange auf dem Domain Controller installieren ist bereits eine in mehrfacher Hinsicht fragwürdige Entscheidung von der auch Microsoft selbst abrät.

Zum eigentlichen Problem: gibt es eventuell noch andere Logs, die man auswerten kann? NAC o.Ä. vermute ich mal nicht, aber Firewall oder Switch Logs könnten eventuell zeigen, wann besagter PC im Netzwerk aufgetaucht ist. Ggf. sogar grob wo.

 

[Der Turl]

10 mitarbeiter ...wie sagt man so schön...historisch gewachsen. Die Installation erfolgte durch einen Systemhaus das auch die Hardware lieferte. Fortigate FW ist vorhanden, Security Logs zeigen nur ausgehende SSL Fehler ansonsten alles unverdächtig auf der FW

 

[Raijin]

"Computername: Mimikatz"

Ich bin nicht bewandert was Mimikatz betrifft, aber was mich offen gestanden etwas irritiert: Warum sollte Malware wie Mimikatz den Hostnamen des Systems ändern, um sich damit ganz offensichtlich zu enttarnen? Wenn ein Pentester am Werk ist, kann ich das ja noch halbwegs nachvollziehen, weil man damit ggfs den Angriff im Log besser verfolgen kann (naja...), aber wenn hier wirklich böswillige Absicht im Raume steht, klingt das unfassbar dämlich.

Bist du denn mal auf die Suche nach dem fraglichen PC gegangen? Welcher Host steckt dahinter? Oder ist das ggfs eine VM? Das sollte meines Erachtens der nächste Schritt sein, den Verursacher finden. Also Hostnamen prüfen, IP-Adressen, MAC-Adressen, etc.

 

[Der Turl]

PEN Test könnte im Raum stehen da unsere Geschäftsleitung einen neuen Betreuer sucht. Wenn das der Fall war dann wurde ich belogen, das wurde schon hinterfragt.

 

[Conqi]

Warum sollte Malware wie Mimikatz den Hostnamen des Systems ändern, um sich damit ganz offensichtlich zu enttarnen?

Weil Mimikatz selbst nicht wirklich eine Malware ist, sondern mehr oder weniger als Proof on Concept für die Lücke gedacht war, die der Entwickler entdeckt hat. Wenn das ein weniger bewanderter Mitarbeiter aus Spaß (oder ernsthaft) mal ausprobiert hat, ist es normal, dass das nicht unter einem weniger auffälligen Namen auftaucht.

Ohne interne Netzwerklogs wird es leider schwierig. Man könnte gucken, ob man Hinweise zum Hostnamen in den DHCP Leases findet.

 

[Raijin]

Weil Mimikatz selbst nicht wirklich eine Malware ist, sondern mehr oder weniger als Proof on Concept für die Lücke gedacht war, die der Entwickler entdeckt hat.

Was mich dennoch zweifeln lässt, dass Mimikatz den Hostnamen ändert. Das hat in diesem Kontext einfach nichts zu suchen, auch nicht als proof of concept. Hab gerade mal ein wenig recherchiert und konnte auch in diversen Quellen nichts dazu finden. Beweisen oder widerlegen kann ich es dennoch nicht, weil ich das Tool nicht einsetze und es auch nicht vorhabe. Ein wenig merkwürdig ist das trotzdem. Aber wer weiß 🤷‍♂️

Umso sinnvoller ist es daher, auf die Suche nach einem System zu gehen, das auf den Hostnamen "Mimikatz" hört, sei es im DHCP, DNS oder direkt auf den Endgeräten. Bei letzteren auch auf VMs prüfen.

 

[BFF]

ch bin nicht bewandert was Mimikatz betrifft, aber was mich offen gestanden etwas irritiert: Warum sollte Malware wie Mimikatz den Hostnamen des Systems ändern, um sich damit ganz offensichtlich zu enttarnen?

Kann es sein das das Mimikatz wie ein eigenständiger Host aufschlägt bei seinen Anfragen?
Dann wäre ein ändern des Hostnamens nicht nötig.