Mimikatz on avoimen lähdekoodin Windows-apuohjelma, joka on ladattavissa GitHubista. Mimikatz kehitettiin ensimmäisen kerran vuonna 2007 havainnollistamaan Microsoft Windows Local Security Authority Subsystem Service (LSASS) -palvelun käytännön hyväksikäyttöä, ja se pystyy purkamaan tilien kirjautumistiedot, mukaan lukien järjestelmämuistiin tallennetut selvätekstiset salasanat.
mimikatz — ranskaksi söpö kissa — on hyväksikäytön jälkeinen työkalu, jonka tarkoituksena on auttaa hyökkääjiä — olivatpa he sitten mustan hatun hakkereita, punaisen tiimin hakkereita tai tunkeutumistestaajia — poimimaan kirjautumistunnuksia, salasanoja ja todennustunnisteita hakkeroiduista järjestelmistä korottaakseen etuoikeuksiaan ja saadakseen laajemman pääsyn järjestelmiin murretussa verkossa.
Tämä Mimikatz-opas esittelee tunnusten hakkerointityökalun, mitä Mimikatz tekee ja miten Mimikatzia käytetään kirjautumissalasanojen poimimiseen kohdejärjestelmästä.
Hakkerit käyttävät Mimikatzia laajentaakseen läsnäoloaan uhriverkoissa poimimalla ja käyttämällä avaimia, jotka on saatettu käyttää uudelleen toisissa järjestelmissä, tai poimimimalla avaimia tunnuksilta, joilla on korkeammat oikeudet, kuten ylläpitäjien käyttämiltä tileiltä.
Mimikatzin luonut ranskalainen tietoturvatutkija Benjamin Delpy kirjoitti Mimikatzin GitHub-sivulla, että ohjelmistoa voidaan käyttää ”selväkielisten salasanojen, hash-koodien, PIN-koodien ja Kerberos-lipukkeiden poimimiseen muistista” tai ”pass-the-hash-, pass-the-ticket- tai kultaisten lippujen rakentamiseen”. Mimikatz-hyökkäykset käyttävät hyväkseen Windowsin tavanomaisia todennusjärjestelmiä sekä Kerberos-todennusta.
Nämä ominaisuudet tekevät Mimikatzista hyökkääjien välttämättömän työkalun: Mitren ATT&CK-kehys tunnistaa ainakin 20 eri kehittynyttä pysyvää uhkaryhmää, jotka on havaittu käyttävän Mimikatzia. Mimikatz on kuitenkin myös keskeinen työkalu puolustajille, erityisesti niille, jotka tekevät tunkeutumistestausta tai toteuttavat red team -harjoituksia osoittaakseen, kuinka hyvin – tai kuinka huonosti – organisaatio kykenee puolustautumaan tällaisilta hyökkäyksiltä.
Hankinta:
Paras paikka saada Mimikatz on Mimikatzin GitHub-projektin sivu, josta voit ladata Mimikatzin lähdekoodin. Mimikatzin GitHub-sivulta on saatavana myös valmiiksi käännettyjä binääripaketteja Windowsille.
Jos päätät ladata Mimikatzin lähdekoodin, sinun on käännettävä koodi Microsoft Visual Studiolla. Minkä tahansa Mimikatz-version, joko lähdekoodin tai valmiiksi käännettyjen binäärien, lataaminen voi olla haastavaa, sillä nykyaikaiset selaimet ja käyttöjärjestelmät luokittelevat Mimikatzin vaaralliseksi ja estävät käyttäjiä lataamasta sitä. Monet päätelaitteiden tietoturvatuotteet – mukaan lukien Microsoftin oma Windows Defender – estävät Mimikatzin, koska ohjelmistoa käytetään usein hyökkäyksissä.
Yksi keino välttää haittaohjelmien estäminen on käyttää Invoke-Mimikatz PowerShell -moduulia, jonka avulla hyökkääjä, joka käyttää PowerShelliä, Microsoftin tehtävien automatisointikehystä, voi ladata ja suorittaa Mimikatzin etäyhteyden kautta ilman, että sen tarvitsee kirjoittaa suoritettava tiedosto kohteena olevan järjestelmän levylle.
Mihin Mimikatz on hyvä?
Mimikatz voi tehdä paljon, ja sen modulaarinen rakenne tarkoittaa, että uusia ominaisuuksia ja toimintoja voidaan lisätä alustaan suhteellisen helposti. Kuten todettu, Mimikatzin käyttäminen PowerShell-moduulina tekee siitä entistäkin tehokkaamman hyökkäystekniikan.
Mimikatzin mahdollistamia päätoimintoja ovat:
- Salasanojen poimiminen muistista. Kun Mimikatzia ajetaan järjestelmänvalvojan tai järjestelmän etuoikeuksilla, hyökkääjät voivat käyttää Mimikatzia poimimaan selväkielisiä todennusmerkkejä – esimerkiksi salasanoja ja PIN-koodeja – järjestelmän muistissa käynnissä olevasta LSASS-prosessista.
- Kerberos-lippujen poimiminen. Kerberos-moduulin avulla Mimikatz voi käyttää Kerberos API:ta, mikä mahdollistaa useita erilaisia Kerberos-hyökkäyksiä, jotka käyttävät järjestelmämuistista poimittuja Kerberos-lippuja.
- Varmenteiden ja niiden yksityisten avainten poimiminen. Windows CryptoAPI -moduulin avulla Mimikatz voi poimia uhrin järjestelmään tallennettuja varmenteita — ja niihin liittyviä yksityisiä avaimia.
Mimikatzista tulee vieläkin tehokkaampi, kun se yhdistetään muihin hyökkäysalustoihin, kuten Microsoftin PowerShell-apuohjelmaan, Metasploit-alustaan tai muihin työkaluihin, joiden avulla hakkerit voivat käyttää hyväksi tunnistetietoja, jotka Mimikatz poimii uhrin järjestelmistä.
Käsin tekeminen: Mimikatzin asetukset ja komennot
Olipa kyseessä Mimikatzin suorittaminen uhrin järjestelmässä käynnissä olevasta suoritettavasta ohjelmasta tai PowerShellin kaltaisen apuohjelman suorittaminen etänä, komennot voidaan suorittaa manuaalisesti konsolin komentorivillä tai suorittamalla komentosarja automaattisesti suoritettavaksi.
Komentojen antamisen oletusmuoto on kirjoittaa komentomoduuli, jota seuraa kaksi kaksoispistettä ja komennon nimi. Voit syöttää useamman kuin yhden komennon kerrallaan, mutta kaikki välilyöntejä sisältävät komennot on erotettava lainausmerkeillä.
Komentosessio käynnistyy seuraavasti Mimikatzin suorituksen jälkeen:
mimikatz #
Mimikatzista poistutaan komennolla exit.
Kirkastekstisalasanojen poiminta aloitetaan kutsumalla debug-komennon komento privilege-moduulista. Tämä komento korottaa Mimikatzin oikeuksia debug-oikeustasolle, ja se näyttää tältä:
mimikatz # privilege::debug
Privilege ’20’ OK
Tallentaaksesi lokin Mimikatzin vuorovaikutuksista ja tuloksista kirjoita:
mimikatz # log
Käyttäen komentoa ’mimikatz.log’ for logfile : OK
Vakiolokitiedosto on mimikatz.log, mutta voit määrittää komennolla toisen lokitiedoston nimen. Esimerkiksi:
mimikatz # log customlogfilename.log
Kun lokitiedosto on kytketty päälle, loput istunnosta tallentuu eksfiltraatio- tai analyysitarkoituksia varten.
Ehkä yksinkertaisin ja tuotteliain komento on komento, joka poimii selväkielisiä salasanoja, listaa ne konsolin näytölle ja kirjoittaa ne lokitiedostoon.
mimikatz # sekurlsa::logonpasswords
Komento logonpasswords poimii kohdejärjestelmän tällä hetkellä kirjautuneiden ja äskettäin kirjautuneiden käyttäjien käyttäjätunnuksen ja salasanan.
Sekurlsa-moduuli sisältää muitakin komentoja Kerberos-tunnisteiden ja salausavainten poimimiseen, ja se voi jopa suorittaa pass-the-hash-hyökkäyksen Mimikatzin poimimien tunnisteiden avulla.
Tämä Mimikatz-opas on tarkoitettu johdatukseksi hakkerityökaluun. Kannattaa tietää, miten Mimikatz toimii käytännössä ja miten helpoksi se tekee järjestelmän hyväksikäytön jopa kokemattomille hyökkääjille.