Jest jedną z ciekawszych osobowości ostatnich lat świata hackerskiego, ale nie tylko, bo także tej dobrej stronie – testerów zabezpieczeń! Posługujący się w Internecie pseudonimem @gentilkiwi, odcisnął piętno na środowisku Microsoft, kiedy to w 2011 roku odkrył, że w pamięci systemu operacyjnego Windows przechowywane są hasła użytkowników w postaci zwykłego tekstu. Od tego momentu tak naprawdę rozpoczęła się cała przygoda Bejnamina z łamaniem zabezpieczeń Windows, jego problemy oraz sława.
Delphy urodził się w 1986 roku we Francji i jak się chwali w swoich wystąpieniach w Internecie i na konferencjach jest samoukiem. Nie posiada też żadnych tytułów, a na co dzień pracuje w Narodowym Banku Francji na stanowisku specjalisty od zabezpieczeń. Pisaniem kodu głownie zajmuje się głównie w nocy bo, jak stwierdził na jednym ze swoich wystąpień: „Jestem jak Batman”.
Swoją przygodę z programowaniem w języku C i łamaniem zabezpieczeń rozpoczął w 2008/2009 roku, pisząc aplikację, która pozwoliła mu obejść zabezpieczenia Windows, a konkretniej blokadę uruchomienia na Windows wiersza poleceń, edytora rejestru systemowego i menadżera procesów, ponieważ korporacyjne GPO (ustawienia zasad polityki) zabraniały mu na to. Napisał więc specjalną bibliotekę, która pozwalała mu te blokady ominąć. Kolejne odkrycia w programowaniu Delpiego skupiały się na poznawaniu pamięci systemu operacyjnego Windows i kodowaniu w języku C programów pozwalających wyciągać z niej ciekawe informacje. Tak powstało słynne narzędzie mimikatz, które w tamtym czasie prototypowo posiadało różne zabawne nazwy takie jak: kdll, kdllpipe, katz i inne. Ciekawym doświadczeniem dla Benjamina okazało się również poznawanie w jaki sposób aplikacje uruchamiane na Windows przechowują swoje dane w pamięci operacyjnej komputera. Dzięki temu poznał dogłębnie architekturę gry wbudowanej w system Windows – Saper, bo potrafił wydobyć z pamięci informacje o pozycji bomb i dzięki temu uzyskiwać w niej najlepsze wyniki. Cały kod umieścił w aplikacji o nazwie Winmime. Benjamin stale poszerzał swoją wiedzę i poznawał architekturę pamięci Windows. Wiedział jak rozlokowane są w niej poszczególne dane i tak idąc „po nitce do kłębka” w 2011 roku przypadkowo odkrył, że Windows XP oraz 7 przechowuje w pamięci hasła użytkowników i jest możliwość ich łatwego odczytania. Jak się okazało jego odkrycie jest aktualne aż do dziś, a współczesne systemy operacyjne Windows 10/2016 Microsoft jedynie zmienił architekturę i zamiast zwykłego hasła przechowują jego skrót (NTLM hash) i tuż obok hasła, jak odkrył Delpy, w pamięci także znajduje się klucz do jego deszyfracji. Od tego momentu dla młodego francuza rozpoczęła się prawdziwa przygoda z hackowaniem, sława, ale również kłopoty.
W 2012 roku ówczesny 24-letni francuski programista został zaproszony na konferencję bezpieczeństwa do Moskwy, gdzie miał wygłosić wykład na temat zabezpieczeń Microsoft i pochwalić się swoimi dokonaniami w tym zakresie – „szwajcarskim scyzorykiem” dla hackerów – programem Mimikatz. Niestety już dzień przed wykładem spotkała go w hotelu niemiła sytuacja. Pod jego nieobecność do jego pokoju wtargnął Rosjanin, na którego natknął się Benjamin wracając z recepcji. Kiedy operacja szpiegowska na jego laptopie nie powiodła się, Rosjanin próbował wymusić na programiście przegranie programu oraz prezentacji na dysk USB – sytuacja jak z filmu szpiegowskiego. Od tego momentu Benjamin zaczął obawiać się o swoje życie i postanowił opublikować kod źródłowy swojej aplikacji na portalu GitHub, a Mimikatz stał się wszechobecnym narzędziem we wszystkich atakach hackerów dotyczących poświadczeń.
Szczególną obecność Mimikatza zauważyliśmy w połączeniu z wyciekiem narzędzi z NSA i pojawieniem się ataku dwóch robaków ransomware (NotPetya oraz BadRabbit), które przeszły przez Ukrainę i rozprzestrzeniły się w Europie, Rosji i Stanach Zjednoczonych powodując miliardowe w dolarach straty i paraliż tysięcy komputerów w takich firmach, jak Maersk, Merck i FedEx. Problem NotPetya dotknął także wielu klientów w Polsce.
Pomimo tak przykrych wydarzeń dla wielu firm Benjamin nie zaprzestał rozwijania Mimikatza i co jakiś czas dodaje w nim nowe moduły, aby pokazać jednocześnie kolejne słabości w implementacji zabezpieczeń Microsoft, czy nawet otwartych standardów komunikacji/protokołów takich jak Kerberos, PKI itp. W 2017 roku wydał nowe narzędzie Kekeo, które pozwala na zabawę z protokołem Kerberos wykorzystywanym w korporacjach używających usługę katalogową Microsoft Active Directory. Do innych ciekawych osiągnięć francuza należy udział w implementacji modułu DCShadow i DCSync, a także ostatnio jego prace nad łamaniem zabezpieczeń certyfikatów w infrastrukturze PKI (Publik Key Infrastructure). Jest też twórcą bloga: https://www.dcshadow.com opisującego jeden z ciekawszych problemów związanych z replikacją w Active Directory.
Pomimo zastosowania Mimikatza do nieetycznych działań, narzędzie ma także swoje pozytywne strony. Pozwoliło specjalistom od bezpieczeństwa na wykonywanie testów penetracyjnych i pokazywaniu kierownictwu w firmach jak wadliwe są ich architektury bezpieczeństwa. Benjamin wywiera także dużą presję na Microsoft, ponieważ wymusza na nim ciągłą zmianę architektury uwierzytelniania systemu Windows (patrz Windows Credentials Guard), pisze exploity, które muszą naprawiać. Jedno trzeba tutaj stwierdzić – firma Microsoft dzięki Mimikatz zrobiła więcej, aby zwiększyć bezpieczeństwo niż jakiekolwiek inne narzędzie, o którym możemy pomyśleć. Wydaje się, że nawet Microsoft nauczył się doceniać pracę Delpy. Już w 2017 roku programista przemawiał na dwóch konferencjach bezpieczeństwa firmy Blue Hat oraz został zaproszony do dołączenia do jednej z jego komisji opiniodawczych w celu uzyskania nowych zgłoszeń.
Delpy spytany o to, czy nie żałuje swojej pracy i dokonań nad Mimikatz, odpowiedział:
„Lepiej być ściganym przez rosyjskich szpiegów niż pozostawić lukę Microsoftu w tajemnicy dla samych szpiegów. Stworzyłem narzędzie, aby pokazać Microsoftowi, że to nie jest problem teoretyczny, to prawdziwy problem. Bez prawdziwych danych, bez niebezpiecznych danych, nigdy nic byśmy nie zrobili, by to zmienić”.
Kibicujemy mocno Benjaminowi i liczymy na nowe osiągniecia w dziedzinie poprawy bezpieczeństwa Microsoft. Będziemy na bieżąco Was o tym informować.
Dokładny opis działania metod hackerskich oraz malware z wykorzystaniem Mimikatz i Kekeo opisaliśmy w kampanii CYBER KILLCHAIN a także w wielu innych artykułach na Kapitanie Hacku.