Mimikatz è un’utilità open source per Windows disponibile per il download da GitHub. Sviluppato per la prima volta nel 2007 per dimostrare un exploit pratico del Microsoft Windows Local Security Authority Subsystem Service, o LSASS, Mimikatz è in grado di scaricare le informazioni di login degli account, comprese le password in chiaro memorizzate nella memoria di sistema.
mimikatz — francese per gatto carino — è uno strumento di post-exploitation destinato ad aiutare gli attaccanti – se black hat hacker, hacker red team o penetration tester – per estrarre ID di login, password e token di autenticazione da sistemi violati al fine di elevare i privilegi e ottenere un maggiore accesso ai sistemi su una rete violata.
Questo tutorial Mimikatz fornisce un’introduzione allo strumento di hacking delle credenziali, cosa fa Mimikatz e come utilizzare Mimikatz per estrarre le password di accesso da un sistema di destinazione.
Gli hacker utilizzano Mimikatz per estendere la loro presenza sulle reti delle vittime estraendo e utilizzando chiavi che possono essere state riutilizzate su altri sistemi o estraendo le chiavi da account con privilegi elevati, come quelli utilizzati dagli amministratori.
Benjamin Delpy, il ricercatore francese di sicurezza informatica che ha creato Mimikatz, ha scritto sulla pagina Mimikatz GitHub che il software può essere utilizzato per “estrarre password in chiaro, hash, codice PIN e biglietti Kerberos dalla memoria”, o per “eseguire pass-the-hash, pass-the-ticket o costruire biglietti d’oro”. Gli attacchi di Mimikatz sfruttano gli schemi di autenticazione standard di Windows, così come l’autenticazione Kerberos.
Queste capacità rendono Mimikatz uno strumento indispensabile per gli attaccanti: Il quadro Mitre ATT&CK identifica almeno 20 diversi gruppi di minacce persistenti avanzate che sono state rilevate utilizzando Mimikatz. Tuttavia, Mimikatz è anche uno strumento chiave per i difensori, in particolare quelli che fanno test di penetrazione o eseguono esercizi di red team per dimostrare quanto bene – o quanto male – un’organizzazione è in grado di difendersi da tali attacchi.
Prenderlo: Come scaricare Mimikatz e farlo funzionare
Il posto migliore per ottenere Mimikatz è dalla pagina del progetto Mimikatz GitHub, dove è possibile scaricare il codice sorgente di Mimikatz. Binari precompilati per Windows sono disponibili anche dalla pagina Mimikatz GitHub.
Se si sceglie di scaricare il codice sorgente Mimikatz, è necessario compilare il codice con Microsoft Visual Studio. Scaricare qualsiasi versione di Mimikatz, sia il codice sorgente o i binari precompilati, può essere una sfida, come i moderni browser e sistemi operativi classificano Mimikatz come pericoloso e bloccano gli utenti dal download. Molti prodotti di sicurezza endpoint – tra cui Microsoft Windows Defender – bloccherà Mimikatz perché il software è spesso utilizzato in attacchi.
Un modo per evitare di essere bloccato da antimalware è quello di utilizzare il modulo PowerShell Invoke-Mimikatz, che consente a un attaccante in esecuzione PowerShell, Microsoft task automation framework, per caricare ed eseguire Mimikatz in remoto senza bisogno di scrivere l’eseguibile sul disco del sistema mirato.
A cosa serve Mimikatz?
Mimikatz può fare molto, e la sua struttura modulare significa che nuove caratteristiche e funzioni possono essere aggiunte alla piattaforma con relativa facilità. Come notato, l’esecuzione di Mimikatz come modulo PowerShell lo rende una tecnica di attacco ancora più efficace.
Le funzioni principali che Mimikatz consente includono:
- Estrarre le password dalla memoria. Quando viene eseguito con privilegi di amministratore o di sistema, gli aggressori possono usare Mimikatz per estrarre token di autenticazione in chiaro — password e PIN, per esempio — dal processo LSASS in esecuzione nella memoria del sistema.
- Estrazione di ticket Kerberos. Usando un modulo Kerberos, Mimikatz può accedere all’API Kerberos, abilitando una serie di diversi exploit Kerberos che usano i ticket Kerberos che sono stati estratti dalla memoria del sistema.
- Estrazione di certificati e delle loro chiavi private. Un modulo Windows CryptoAPI permette a Mimikatz di estrarre i certificati – e le chiavi private ad essi associate – che sono memorizzati sul sistema vittima.
Mimikatz diventa ancora più potente se combinato con altre piattaforme di attacco come l’utilità Microsoft PowerShell, la piattaforma Metasploit o altri strumenti che consentono agli hacker di sfruttare le credenziali che Mimikatz estrae dai sistemi vittima.
Tutorial pratico: Configurazione e comandi di Mimikatz
Eseguendo Mimikatz da un eseguibile in esecuzione su un sistema vittima o eseguendo un’utilità come PowerShell in remoto, i comandi possono essere eseguiti manualmente con una riga di comando della console o eseguendo uno script da eseguire automaticamente.
Il formato predefinito per l’emissione di comandi è quello di inserire il modulo del comando seguito da due punti e il nome del comando. È possibile inserire più di un comando alla volta, ma tutti i comandi che includono spazi devono essere separati da virgolette.
La sessione di comando inizia così dopo l’esecuzione di Mimikatz:
mimikatz #
Per uscire da Mimikatz, inserire il comando exit.
Il processo di estrazione delle password in chiaro inizia richiamando il comando debug dal modulo privilegi. Questo comando eleva i permessi per Mimikatz per arrivare al livello di privilegio di debug, e si presenta così:
mimikatz # privilege::debug
Privilegio ’20’ OK
Per registrare un log delle interazioni e dei risultati di Mimikatz, inserire:
mimikatz # log
Using ‘mimikatz.log’ per logfile: OK
Il file di log di default è mimikatz.log, ma è possibile specificare un altro nome di file di log con un comando. Per esempio:
mimikatz # log customlogfilename.log
Una volta attivato il logging, il resto della sessione sarà registrato per scopi di esfiltrazione o analisi.
Forse il comando più semplice e produttivo è quello che estrae le password in chiaro, le elenca sullo schermo della console e le scrive nel file di log.
mimikatz # sekurlsa::logonpasswords
Il comando logonpasswords estrae l’ID utente e la password per gli utenti attualmente connessi e per quelli recentemente connessi al sistema di destinazione.
Il modulo sekurlsa include altri comandi per estrarre le credenziali Kerberos e le chiavi di crittografia, e può anche eseguire un attacco pass-the-hash utilizzando le credenziali che Mimikatz estrae.
Questo tutorial di Mimikatz è inteso come un’introduzione allo strumento di hacking. Vale la pena sapere come Mimikatz funziona in pratica e come rende facili gli exploit di sistema anche per gli attaccanti non sofisticati.