Mimikatz je open source nástroj pro Windows, který je k dispozici ke stažení na GitHubu. Mimikatz, který byl poprvé vyvinut v roce 2007 za účelem demonstrace praktického zneužití služby LSASS (Local Security Authority Subsystem Service) systému Microsoft Windows, dokáže vypisovat přihlašovací údaje k účtům včetně hesel v čistém textu uložených v systémové paměti.
Mimikatz – francouzsky roztomilá kočka – je nástroj pro post-exploitaci, který má útočníkům – ať už black hat hackerům, red team hackerům nebo penetračním testerům – pomoci získat přihlašovací ID, hesla a autentizační tokeny z hacknutých systémů za účelem zvýšení oprávnění a získání většího přístupu k systémům v narušené síti.
Tento výukový program Mimikatz poskytuje úvod k nástroji pro hackování pověření, k čemu Mimikatz slouží a jak jej použít k extrakci přihlašovacích hesel z cílového systému.
Hackeři používají Mimikatz k rozšíření své přítomnosti v sítích obětí tím, že extrahují a používají klíče, které mohly být opakovaně použity v jiných systémech, nebo extrahují klíče z účtů se zvýšenými právy, například z účtů používaných správci.
Benjamin Delpy, francouzský výzkumník v oblasti informační bezpečnosti, který Mimikatz vytvořil, na stránce Mimikatz GitHub napsal, že software lze použít k „extrakci hesel v prostém textu, hashe, kódu PIN a tiketů Kerberos z paměti“ nebo k „provedení pass-the-hash, pass-the-ticket nebo sestavení zlatých tiketů“. Útoky Mimikatz využívají standardní autentizační schémata systému Windows a také autentizaci Kerberos.
Tyto schopnosti dělají z Mimikatz nástroj, který útočníci musí mít: Rámec Mitre ATT&CK identifikuje nejméně 20 různých skupin pokročilých trvalých hrozeb, které byly odhaleny pomocí Mimikatzu. Mimikatz je však také klíčovým nástrojem pro obránce, zejména pro ty, kteří provádějí penetrační testování nebo cvičení červených týmů, aby demonstrovali, jak dobře – nebo jak špatně – se organizace dokáže proti takovým útokům bránit.
Získání: Jak si Mimikatz stáhnout a zprovoznit
Nejlepším místem pro získání Mimikatzu je stránka projektu Mimikatz na GitHubu, kde si můžete stáhnout zdrojový kód Mimikatzu. Předkompilované binární soubory pro Windows jsou k dispozici také na stránce Mimikatz GitHub.
Pokud se rozhodnete stáhnout zdrojový kód Mimikatz, budete muset kód zkompilovat pomocí aplikace Microsoft Visual Studio. Stažení jakékoli verze Mimikatzu, ať už zdrojového kódu, nebo předkompilovaných binárních souborů, může být problém, protože moderní prohlížeče a operační systémy klasifikují Mimikatz jako nebezpečný a blokují jeho stahování uživateli. Mnoho produktů pro zabezpečení koncových bodů – včetně vlastního softwaru Windows Defender společnosti Microsoft – Mimikatz blokuje, protože tento software je často používán při útocích.
Jedním ze způsobů, jak se vyhnout blokování antimalwarem, je použití modulu Invoke-Mimikatz PowerShell, který umožňuje útočníkovi se spuštěným prostředím PowerShell, rámcem pro automatizaci úloh společnosti Microsoft, načíst a spustit Mimikatz na dálku, aniž by bylo nutné zapsat spustitelný soubor na disk cílového systému.
K čemu je Mimikatz dobrý?
Mimikatz toho umí hodně a jeho modulární struktura znamená, že do platformy lze relativně snadno přidávat nové funkce a vlastnosti. Jak bylo uvedeno, spuštění Mimikatzu jako modulu PowerShell z něj dělá ještě účinnější útočnou techniku.
Mezi hlavní funkce, které Mimikatz umožňuje, patří:
- Extrakce hesel z paměti. Při spuštění s právy správce nebo systémovými právy mohou útočníci použít Mimikatz k extrakci autentizačních tokenů v prostém textu – například hesel a kódů PIN – z procesu LSASS běžícího v systémové paměti.
- Extrakce tiketů Kerberos. Pomocí modulu Kerberos může Mimikatz přistupovat k rozhraní API systému Kerberos, což umožňuje řadu různých zneužití systému Kerberos, která využívají tikety Kerberos extrahované ze systémové paměti.
- Extrakce certifikátů a jejich soukromých klíčů. Modul Windows CryptoAPI umožňuje Mimikatzu extrahovat certifikáty – a s nimi spojené soukromé klíče – které jsou uloženy v systému oběti.
Mimikatz se stává ještě mocnějším v kombinaci s dalšími útočnými platformami, jako je nástroj Microsoft PowerShell, platforma Metasploit nebo jiné nástroje, které hackerům umožňují zneužít pověření, která Mimikatz extrahuje ze systémů oběti.
Praktický návod: Nastavení a příkazy nástroje Mimikatz
Při spouštění nástroje Mimikatz ze spustitelného souboru spuštěného v systému oběti nebo při vzdáleném spuštění nástroje, jako je PowerShell, lze příkazy spouštět ručně pomocí konzolového příkazového řádku nebo spuštěním skriptu, který se spustí automaticky.
Ve výchozím formátu pro vydávání příkazů se zadává modul příkazu následovaný dvěma dvojtečkami a názvem příkazu. Můžete zadat více příkazů najednou, ale všechny příkazy, které obsahují mezery, je třeba oddělit uvozovkami.
Příkazová relace začíná po spuštění programu Mimikatz takto:
mimikatz #
Pro ukončení programu Mimikatz zadejte příkaz exit.
Proces extrakce čistých textových hesel začíná vyvoláním příkazu debug z modulu privilege. Tento příkaz zvýší oprávnění pro Mimikatz, aby se dostal na úroveň ladicích práv, a vypadá takto:
mimikatz # privilege::debug
Privilege ’20‘ OK
Chcete-li zaznamenat protokol interakcí a výsledků Mimikatz, zadejte:
mimikatz # log
Použití ‚mimikatz.log‘ pro soubor protokolu : OK
Výchozí soubor protokolu je mimikatz.log, ale příkazem můžete zadat jiný název souboru protokolu. Například:
mimikatz # log customlogfilename.log
Po zapnutí protokolování bude zbytek relace zaznamenáván pro účely exfiltrace nebo analýzy.
Možná nejjednodušší a nejproduktivnější je příkaz, který extrahuje hesla v prostém textu, vypíše je na obrazovku konzoly a zapíše do souboru protokolu.
mimikatz # sekurlsa::logonpasswords
Příkaz logonpasswords extrahuje ID a heslo aktuálně přihlášeného a nedávno přihlášeného uživatele cílového systému.
Modul sekurlsa obsahuje další příkazy pro extrakci pověření Kerberos a šifrovacích klíčů a dokáže dokonce provést pass-the-hash útok pomocí extrahovaných pověření Mimikatz.
Tento návod Mimikatz je určen jako úvod do tohoto hackerského nástroje. Stojí za to vědět, jak Mimikatz funguje v praxi a jak snadno umožňuje zneužití systému i nezkušeným útočníkům.