如何在黑客Mimikatz攻击中保全自身?

这是条挺nerd但又完全不专业的推送。慎点。

主要针对企业、政府的办公台式机，如果你家电脑系统自动升级，就不用继续往下看了。

最近收到推送，安全软件供应商卡巴斯基警告说，一波针对工业公司的黑客攻击浪潮将来袭。其中黑客会大量使用恶意软件Mimikatz。

“在过去的几个月中，国际黑客组织显然将目标对准了工业公司及其供应商。根据卡巴斯基安全研究人员的分析，德国，英国和日本的公司受到了影响。黑客使用了量身定制的电子邮件以及广受欢迎的恶意软件Mimikatz，作为攻击手段。

据卡巴斯基观察，这波攻击始于2020年初。黑客借助网络钓鱼电子邮件将恶意软件发送到受影响的公司的职员邮箱，带有恶意宏的Word文档作为附件加到邮件中。但是，仅当电子邮件的语言与操作系统的语言匹配时，恶意软件才会激活。

目前尚不清楚攻击背后是什么人以及是什么目的。令人担忧的是，攻击目标主要放在工业部门的供应商上，这样就可以使用承包商使用的远程管理工具攻击公司。因此，卡巴斯基建议对员工进行有关如何使用电子邮件的培训，并限制文档中的宏。”

这里科普下Mimikatz，Mimikatz是法国人Benjamin Delpy编写的一款轻量级的调试工具，理论上可以抓取所有windows系统的明文密码（winxp之前的好像不行），因此在内网渗透过程中应用非常广，属于内网渗透必备工具之一，被很多人称之为密码抓取神器。Mimikatz其实并不只有抓取口令这个功能，它还能够创建票证、票证传递、hash传递、甚至伪造域管理凭证令牌等诸多功能。

本来我是没有很在意的啦，但是不小心（划掉）顺手点开了下细节，发现不太对劲啊。。（因为我收到的邮件附件里经常包括宏，还老被人工智障杀毒软件禁止打开，每周都很烦）

本着消息还是一手来源比较香的理念我去卡巴斯基ics-cert看了看…

发现说辞稍有不同但大概差不多。

就不翻译了，反正大意就是这玩儿不仅已经蔓延开了还特别烦人，要成功解密恶意软件模块，操作系统还必须具有本地化版本。

攻击结果就是，在受害计算机上安装Bebloh家族（Shiotob，URLZone）和Ursnif家族（Gozi，ISFB）的银行木马。（这都啥。我都不认识，反正看起来就要掉钱）

为了我的命根子和饭碗（那点儿工作数据）着想，我只好去努力再查查咯——然后发现，简直了，受灾者甚众啊。。还有我们航空行业的，好惨

上半年就有这么多国家爆发了，离我还会远么？

——当然不了

看到消息第二天下午群里小伙伴就中招了。。。

勒索邮件截图，厉害了直接发到QQ邮箱要以太坊。。

好啦，痛定思痛，遇到问题解决问题。

勒索原理大概这样，说了也没啥用，大家随便看一下就行。。

病毒嘛，甭管是人的还是电脑的，发病了都是不大好治的，主要还是得靠预防啦~

Kaspersky不是都说了是通过 Mimikatz么~

鉴于Win8以上系统已经堵上了Mimikatz漏洞而各国政府/工业企业涉密的电脑都不是很爱使用Win8以上系统……就给了黑客可乘之机咯。

那咱就针对性解决就行~

经对比十余种方法（主要包括源码免杀、无源码免杀、powershell免杀、加载器分离免杀、白名单免杀几大类），我选出来一种最傻瓜操作的，推荐给大家~

第一步：Active Directory 2012 R2功能级别

首先可以升级域或林的功能级别到2012 R2。这个级别添加了个“受保护的用户”用户组。

注意：对于非保护用户，mimikatz是可以获取到NTLM哈希的。

当用户被添加到保护用户组的时候，NTLM哈希和明文密码都看不到了。

来对比下安装前Windows 7或者2008 R2上的保护用户组——

可以看到，即使加入了保护用户组，密码和哈希还是可见的。

不过这台机器没有打过补丁。（如果电脑不知道保护用户组意味着什么，那这个用户组也就失去了意义。）

第二步：安装KB2871997

PS ：本文最下方扩展链接为KB2871997下载网址

如果用户一直安装Windows更新的话，KB2871997应该已经装好了。这个更新会把保护用户组的功能移植到旧版的Windows中。一旦安装了这个更新，Windows2008 R2就也能防御mimikatz了。

安装KB2871997更新后没有把用户放入保护用户组就是这样的效果

而一旦加入了保护用户组，效果就跟2012 R2上的一样了

第三步：去除内存中的存储空间

这一步可选，因为大家可能想把所有的账号放到保护用户组里面，但是实际上不行。微软反对把计算机账号和服务账号放到保护用户组里面。所以这一步是针对那些不在保护用户组里面的用户的。

在Windows 2012 R2上，无论用户有没有被添加到保护用户组，mimikatz都没有获取到过密码，而Windows2008中，如果不添加到保护用户组，mimikatz还是能够获取密码的。

密码的存储是由一个注册表设置决定的。就像保护用户组的功能一样，在新版本的Windows(8.1+ & 2012R2+)中，密码默认不会储存在内存中。这一特性也在KB2871997更新中被移植到了老版本中。但是由于兼容原因，在安装更新后，老版本就会默认在内存中存储密码。

这时候只要把注册表中的“UseLogonCredential”项设置成0就好了。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

这位用户没有被添加到保护用户组，但是注册表的值改过了，因此，Mimikatz无法获取到明文密码。

~~~结论~~~

总结一下，把Active Directory功能级别升级到2012 R2，及时进行Windows更新，把重要账号加入保护用户组，设置注册表值。另外，不要授予账号过多的管理权限。

防御Mimikatz就这么简单~~~

文科生都折腾完了，你呢~

新开公众号，创作不易，望关注支持！

原文链接为微软官网，KB2871997下载地址，请自取呀~