O que é Mimikatz: um guia para iniciantes

Benjamin Delpy criou o Mimikatz originalmente como uma prova de conceito para demonstrar a vulnerabilidade da Microsoft a ataques em seus protocolos de autenticação. Em vez disso, ele criou inadvertidamente uma das ferramentas de hacking mais usadas e baixadas dos últimos 20 anos.



Jake Williams, da Rendition Infosec, afirma: "A Mimikatz fez mais para melhorar a segurança do que qualquer outra ferramenta que conheço . " Se proteger as redes do Windows é seu trabalho, é importante manter-se atualizado com as atualizações mais recentes do Mimikatz para entender as técnicas que os hackers usarão para se infiltrar em suas redes e ficar um passo à frente.

O que é Mimikatz?

Mimikatz é um aplicativo de código aberto que permite aos usuários visualizar e salvar credenciais de autenticação, como tíquetes Kerberos . Benjamin Delpy continua liderando o desenvolvimento do Mimikatz, portanto, o kit de ferramentas funciona com a versão atual do Windows e inclui os ataques mais avançados.



Os invasores costumam usar o Mimikatz para roubar credenciais e elevar privilégios: na maioria dos casos, o software de proteção de endpoint e os sistemas antivírus detectam e removem. Por outro lado, os testadores de penetração usam Mimikatz para descobrir e testar vulnerabilidades em suas redes para que você possa corrigi-las.

Recursos do Mimikatz

Mimikatz demonstrou originalmente como explorar uma vulnerabilidade no sistema de autenticação do Windows. Agora, esta ferramenta cobre vários tipos diferentes de vulnerabilidades. Mimikatz pode realizar os seguintes métodos de coleta de credenciais:

• Pass-the-Hash : Anteriormente, o Windows armazenava credenciais de autenticação em um hash NTLM . Os invasores usam o Mimikatz para passar a string hash exata para o computador de destino para login. Os invasores nem precisam quebrar a senha, eles só precisam interceptar o hash e usá-lo sem nenhum processamento. É o mesmo que encontrar a chave de todas as portas da casa no chão. Você precisa de uma chave para abrir qualquer porta.
• Pass-the-Ticket ( ): Windows , (Ticket). Mimikatz Kerberos . , .
• Over-Pass the Hash (Pass the Key): pass-the-hash, , .
• Kerberos Golden Ticket): (pass-the-ticket), KRBTGT. .« » .
• Kerberos Silver Ticket: pass-the-ticket, « » Windows, . Kerberos (TGS), . Microsoft (TGS) , .
• Pass-the-Cache): , Windows! , Mac/UNIX/Linux.

Mimikatz

Você pode baixar o Mimikatz do GitHub de Benjamin Delpy. Ele oferece várias opções de download, de um executável a código-fonte , que você precisará compilar com o Visual Studio 2010 ou mais recente.

Como usar o Mimikatz

Após executar o executável Mimikatz, o console interativo Mimikatz aparecerá, onde você pode executar comandos em tempo real.



Execute o Mimikatz como Administrador: Para que o Mimikatz funcione corretamente, selecione Executar como Administrador, mesmo se estiver usando uma conta de administrador.



Verificando a versão do Mimikatz

Existem 2 versões do Mimikatz: 32 bits e 64 bits. Certifique-se de que está usando a versão correta para o seu bit do Windows. Execute o comando version a partir da linha de comandos do Mimikatz para obter informações sobre o executável do Mimikatz, a versão do Windows e se houver alguma configuração do Windows que possa impedir o Mimikatz de funcionar corretamente.



Recuperando

senhas de texto não criptografado da memória O módulo sekurlsa no Mimikatz permite que você recupere senhas da memória. Para usar comandos no módulo sekurlsa, você deve ter direitos de administrador ou de nível de sistema.



Primeiro execute o comando:

mimikatz # privilege::debug 

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Você verá se possui as permissões apropriadas para prosseguir.

Em seguida, inicie as funções de registro, no futuro você pode precisar deste registro em seu trabalho:

mimikatz # log nameoflog.log

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Finalmente, produza todas as senhas armazenadas neste computador em texto simples:

mimikatz # sekurlsa::logonpasswords

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Usando outros módulos Mimikatz

O módulo de criptografia expõe o CryptoAPI no Windows, que permite enumerar e exportar certificados e suas chaves privadas, mesmo se estiverem marcados como não exportáveis.



O módulo Kerberos acessa a API Kerberos, portanto, você pode experimentar essa funcionalidade recuperando e gerenciando tíquetes Kerberos .



O módulo de serviços permite que você inicie, pare, desative e execute outras operações nos serviços do Windows.



E, finalmente, o comando coffee gera uma imagem ASCII de café, porque todos precisam de café.



Mimikatz é capaz de muito mais. Se você estiver interessado em testes de penetração ou apenas quiser se aprofundar na parte interna da Autenticação do Windows, verifique os links abaixo.

• Guia de teste de penetração para ambientes Active Directory
• Manual não oficial do Mimikatz e referência de comando
• Koadic: malware LOL e servidor de controle e comando Python
• Enciclopédia Oficial de Mimikatz

Quer ver Mimikatz em ação e descobrir como o Varonis o protege de intrusos? Participe de nosso workshop prático e interativo gratuito sobre ataque cibernético e veja como os engenheiros da Varonis conduzem um ataque cibernético em nosso laboratório de segurança.