La dernière avancée de Mimikatz rappelle la criticité des journaux d’activité

Benjamin Delpy continue de faire progresser Mimikatz. Son dernier ajout ? De quoi empêcher le service d’observation d’événements de Windows d’enregistrer les opérations d’effacement de journaux. 

#mimikatz event log patch is not new (2011): https://t.co/pO406B22Yd
Not related with recent NSA tools, or *Zap with event id "hidding",etc.
It's a patch preventing new events in the EventLog service.
This version add 10 1709 supporthttps://t.co/xdQ61UzZaO

— 🥝 Benjamin Delpy (@gentilkiwi) December 20, 2017

Développé depuis de longues années, Mimikatz sert à récupérer les identifiants de comptes utilisateurs stockés sur un système Windows. Il est utilisé à la fois dans une logique défensive, pour éprouver la sécurité de son infrastructure, que dans une logique offensive par des cyber-délinquants qui ont toute latitude pour le personnaliser et l’adapter à leurs besoins spécifiques.

La détection de son utilisation dans le cadre d’enquêtes sur incidents fait régulièrement l’objet de travaux de recherche et d’étude, voire de démonstrations d’éditeurs de solutions de sécurité, notamment dans le cadre d’attaques en mémoire, sans dépôt de fichier sur le disque dur. Ces attaques dites fileless se multiplient et ne manquent pas de gagner en sophistication. Et selon Ayoub Elaassal, consultant sécurité chez Wavestone, il n’y pas là de remède miracle : « sur le terrain, bien qu’ils prétendent surpasser l’antivirus, la majorité écrasante des produits EDR succombe aux mêmes attaques permettant de contourner un antivirus classique ». D’où un rôle complémentaire permettant de gagner en visibilité.

It was only a matter of time before this was added to a mainstream tool. #DFIR folks take notice: your event logs aren't ground truth. It's more important than ever to look for evidence of event log editing, etc. through secondary artifacts (e.g. registry, prefetch). https://t.co/oka9cw1f7n

— Jake Williams (@MalwareJake) December 20, 2017

Et justement, comme le relève Jake Williams, de Rendition Security, le tout dernier ajout de Benjamin Delpy à Mimikatz sonne comme une sévère piqure de rappel : « les journaux d’événements ne sont pas une vérité absolue. Il est plus important que jamais de chercher des indices de leur altération via des artefacts secondaires ».

De quoi souligner au passage leur criticité et l’importance, aussi, de leur stockage hors de portée d’attaquants potentiels. Car comme le rappelle David Mercer, de MercerWeiss Consulting : « le système de journalisation est la première cible de n’importe quel attaquant sérieux ».