Mimikatz er et open source Windows-værktøj, der kan downloades fra GitHub. Mimikatz blev først udviklet i 2007 for at demonstrere en praktisk udnyttelse af Microsoft Windows Local Security Authority Subsystem Service, eller LSASS, og er i stand til at dumpe kontoindlogningsoplysninger, herunder klartekstadgangskoder, der er gemt i systemhukommelsen.
mimikatz – fransk for sød kat – er et værktøj til at hjælpe angribere – uanset om det er black hat-hackere, red team-hackere eller penetrationstestere – med at udtrække login-id’er, adgangskoder og autentificeringstokens fra hackede systemer med henblik på at øge privilegier og få større adgang til systemer på et krænket netværk.
Denne Mimikatz-vejledning giver en introduktion til værktøjet til hacking af legitimationsoplysninger, hvad Mimikatz gør, og hvordan man bruger Mimikatz til at udtrække logonadgangskoder fra et målsystem.
Hackere bruger Mimikatz til at udvide deres tilstedeværelse på offernetværk ved at udtrække og bruge nøgler, der kan være blevet genbrugt på andre systemer, eller ved at udtrække nøgler fra konti med forhøjede privilegier, f.eks. dem, der bruges af administratorer.
Benjamin Delpy, den franske forsker i informationssikkerhed, der har skabt Mimikatz, skrev på Mimikatz GitHub-siden, at softwaren kan bruges til at “udtrække kodeord i klartekst, hash, pinkode og Kerberos-billetter fra hukommelsen” eller til at “udføre pass-the-hash, pass-the-ticket eller bygge gyldne billetter”. Mimikatz-angreb udnytter standard Windows-autentifikationsordninger samt Kerberos-autentifikation.
Disse muligheder gør Mimikatz til et must-have-værktøj for angribere: Mitre ATT&CK-rammen identificerer mindst 20 forskellige avancerede persistente trusselsgrupper, der er blevet opdaget ved hjælp af Mimikatz. Men Mimikatz er også et vigtigt værktøj for forsvarere, især dem, der laver penetrationstest eller udfører red team-øvelser for at demonstrere, hvor godt – eller hvor dårligt – en organisation er i stand til at forsvare sig mod sådanne angreb.
Få det: Sådan downloader du Mimikatz og får det til at køre
Det bedste sted at få fat i Mimikatz er fra Mimikatz GitHub-projektets side, hvor du kan downloade Mimikatz-kildekoden. Forkompilerede binære filer til Windows er også tilgængelige fra Mimikatz GitHub-siden.
Hvis du vælger at downloade Mimikatz-kildekoden, skal du kompilere koden med Microsoft Visual Studio. Det kan være en udfordring at downloade enhver version af Mimikatz, enten kildekoden eller de forkompilerede binære filer, da moderne browsere og operativsystemer klassificerer Mimikatz som farlig og blokerer brugere for at downloade den. Mange sikkerhedsprodukter til slutpunktet – herunder Microsofts egen Windows Defender – blokerer Mimikatz, fordi softwaren ofte bruges i angreb.
En måde at undgå at blive blokeret af antimalware er at bruge Invoke-Mimikatz PowerShell-modulet, som gør det muligt for en angriber, der kører PowerShell, Microsofts ramme for automatisering af opgaver, at indlæse og udføre Mimikatz eksternt uden at skulle skrive den eksekverbare fil til det pågældende systems disk.
Hvad er Mimikatz god til?
Mimikatz kan meget, og dens modulære struktur betyder, at nye funktioner og features relativt let kan tilføjes til platformen. Som nævnt gør det at køre Mimikatz som et PowerShell-modul det til en endnu mere effektiv angrebsteknik.
De vigtigste funktioner, som Mimikatz muliggør, omfatter:
- Udtrække adgangskoder fra hukommelsen. Når den køres med administrator- eller systemrettigheder, kan angribere bruge Mimikatz til at udtrække autentificeringstokens i klartekst – f.eks. adgangskoder og pinkoder – fra LSASS-processen, der kører i systemhukommelsen.
- Udtrækning af Kerberos-billetter. Ved hjælp af et Kerberos-modul kan Mimikatz få adgang til Kerberos API’et, hvilket muliggør en række forskellige Kerberos-eksplosioner, der bruger Kerberos-billetter, der er blevet udtrukket fra systemhukommelsen.
- Udtrækning af certifikater og deres private nøgler. Et Windows CryptoAPI-modul gør det muligt for Mimikatz at udtrække certifikater – og de private nøgler, der er knyttet til dem – som er gemt på offersystemet.
Mimikatz bliver endnu mere kraftfuld, når den kombineres med andre angrebsplatforme såsom Microsoft PowerShell-værktøjet, Metasploit-platformen eller andre værktøjer, der gør det muligt for hackere at udnytte de legitimationsoplysninger, som Mimikatz udtrækker fra offersystemer.
Hands-on tutorial:
Hvad enten Mimikatz udføres fra en eksekverbar fil, der kører på et offersystem, eller et hjælpeprogram som PowerShell udføres eksternt, kan kommandoer køres manuelt med en kommandolinje i konsollen eller ved at udføre et script, der køres automatisk.
Standardformatet for udstedelse af kommandoer er at indtaste kommandoens modul efterfulgt af to kolontegn og kommandonavnet. Du kan indtaste mere end én kommando ad gangen, men alle kommandoer, der indeholder mellemrum, skal afgrænses af anførselstegn.
Kommandosessionen starter således, efter at Mimikatz er blevet udført:
mimikatz #
For at afslutte Mimikatz skal du indtaste kommandoen exit.
Processen med at udtrække adgangskoder i klartekst starter ved at påkalde kommandoen debug fra privilegiemodulet. Denne kommando hæver tilladelserne for Mimikatz for at komme til debug-privilegieniveauet, og den ser således ud:
mimikatz # privilege::debug
Privilege ’20’ OK
For at registrere en log over Mimikatz-interaktioner og resultater skal du indtaste:
mimikatz # log
Using ‘mimikatz.log’ for logfile : OK
Den standardlogfil er mimikatz.log, men du kan angive et andet logfilnavn med en kommando. For eksempel:
mimikatz # log customlogfilename.log
Når logning er slået til, vil resten af sessionen blive registreret med henblik på exfiltrering eller analyse.
Måske den enkleste og mest produktive kommando er den, der udtrækker kodeord i klartekst, oplister dem på konsolskærmen og skriver dem til logfilen.
mimikatz # sekurlsa::logonpasswords
Kommandoen logonpasswords udtrækker et bruger-id og en adgangskode for aktuelt loggede og for nylig loggede brugere i målsystemet.
Sekurlsa-modulet indeholder andre kommandoer til at udtrække Kerberos-oplysninger og krypteringsnøgler, og det kan endda udføre et pass-the-hash-angreb ved hjælp af de oplysninger, som Mimikatz udtrækker.
Denne Mimikatz-vejledning er tænkt som en introduktion til hackerværktøjet. Det er værd at vide, hvordan Mimikatz fungerer i praksis, og hvor nemt det gør systemeksploiteringer for selv ufaglærte angribere.