Mimikatz este un utilitar open source pentru Windows disponibil pentru descărcare de pe GitHub. Dezvoltat pentru prima dată în 2007 pentru a demonstra o exploatare practică a Microsoft Windows Local Security Authority Subsystem Service, sau LSASS, Mimikatz este capabil să descarce informații de autentificare a conturilor, inclusiv parole în text clar stocate în memoria sistemului.
mimikatz — pisica drăguță în franceză — este un instrument post-exploatare menit să ajute atacatorii — fie că este vorba de hackeri black hat, hackeri red team sau penetration testeri — să extragă ID-urile de autentificare, parolele și token-urile de autentificare din sistemele sparte pentru a ridica privilegiile și a obține un acces mai mare la sistemele dintr-o rețea spartă.
Acest tutorial Mimikatz oferă o introducere la instrumentul de piratare a credențialelor, ce face Mimikatz și cum se utilizează Mimikatz pentru a extrage parolele de logare de pe un sistem țintă.
Hackerii folosesc Mimikatz pentru a-și extinde prezența în rețelele victimelor prin extragerea și utilizarea cheilor care pot fi refolosite pe alte sisteme sau prin extragerea cheilor din conturi cu privilegii ridicate, cum ar fi cele utilizate de administratori.
Benjamin Delpy, cercetătorul francez în domeniul securității informațiilor care a creat Mimikatz, a scris pe pagina Mimikatz GitHub că software-ul poate fi folosit pentru a „extrage din memorie parole în clar, hash-uri, coduri PIN și tichete Kerberos” sau pentru a „efectua pass-the-hash, pass-the-ticket sau a construi tichete Golden”. Atacurile Mimikatz exploatează schemele standard de autentificare Windows, precum și autentificarea Kerberos.
Aceste capabilități fac din Mimikatz un instrument indispensabil pentru atacatori: Cadrul Mitre ATT&CK identifică cel puțin 20 de grupuri diferite de amenințări persistente avansate care au fost detectate folosind Mimikatz. Cu toate acestea, Mimikatz este, de asemenea, un instrument cheie pentru apărători, în special pentru cei care fac teste de penetrare sau efectuează exerciții de tip red team pentru a demonstra cât de bine – sau cât de slab – o organizație este capabilă să se apere împotriva unor astfel de atacuri.
Căutarea lui: Cum să descărcați Mimikatz și să-l puneți în funcțiune
Cel mai bun loc pentru a obține Mimikatz este de pe pagina proiectului Mimikatz GitHub, de unde puteți descărca codul sursă Mimikatz. Binarele precompilate pentru Windows sunt, de asemenea, disponibile de pe pagina Mimikatz GitHub.
Dacă alegeți să descărcați codul sursă Mimikatz, va trebui să compilați codul cu Microsoft Visual Studio. Descărcarea oricărei versiuni de Mimikatz, fie că este vorba de codul sursă sau de binarele precompilate, poate fi o provocare, deoarece browserele și sistemele de operare moderne clasifică Mimikatz ca fiind periculos și blochează utilizatorii să îl descarce. Multe produse de securitate endpoint – inclusiv Windows Defender al Microsoft – vor bloca Mimikatz deoarece software-ul este adesea folosit în atacuri.
O singură modalitate de a evita blocarea de către antimalware este utilizarea modulului Invoke-Mimikatz PowerShell, care permite unui atacator care rulează PowerShell, cadrul de automatizare a sarcinilor Microsoft, să încarce și să execute Mimikatz de la distanță, fără a fi nevoie să scrie executabilul pe discul sistemului vizat.
La ce este bun Mimikatz?
Mimikatz poate face multe, iar structura sa modulară înseamnă că noi caracteristici și funcții pot fi adăugate platformei cu relativă ușurință. După cum s-a observat, rularea lui Mimikatz ca un modul PowerShell îl face o tehnică de atac și mai eficientă.
Principalele funcții pe care Mimikatz le permite includ:
- Extragerea parolelor din memorie. Atunci când este rulat cu privilegii de administrator sau de sistem, atacatorii pot folosi Mimikatz pentru a extrage jetoane de autentificare în text clar – parole și PIN-uri, de exemplu – din procesul LSASS care rulează în memoria sistemului.
- Extragerea de bilete Kerberos. Utilizând un modul Kerberos, Mimikatz poate accesa API-ul Kerberos, permițând o serie de exploatări Kerberos diferite care utilizează bilete Kerberos care au fost extrase din memoria sistemului.
- Extragerea certificatelor și a cheilor private ale acestora. Un modul Windows CryptoAPI permite lui Mimikatz să extragă certificatele – și cheile private asociate acestora – care sunt stocate pe sistemul victimei.
Mimikatz devine și mai puternic atunci când este combinat cu alte platforme de atac, cum ar fi utilitarul Microsoft PowerShell, platforma Metasploit sau alte instrumente care permit hackerilor să exploateze acreditările pe care Mimikatz le extrage din sistemele victimelor.
Tutorial practic: Configurarea și comenzile Mimikatz
Dacă se execută Mimikatz dintr-un executabil care rulează pe un sistem victimă sau se execută un utilitar precum PowerShell de la distanță, comenzile pot fi rulate manual cu o linie de comandă a consolei sau prin executarea unui script pentru a fi rulate automat.
Formul implicit de emitere a comenzilor este de a introduce modulul comenzii urmat de două două două puncte de suspensie și numele comenzii. Puteți introduce mai multe comenzi la un moment dat, dar orice comandă care include spații trebuie să fie între ghilimele.
Sesiunea de comenzi începe astfel după ce Mimikatz se execută:
mimikatz #
Pentru a ieși din Mimikatz, introduceți comanda exit.
Procesul de extragere a parolelor în clar începe prin invocarea comenzii debug din modulul de privilegii. Această comandă ridică permisiunile pentru ca Mimikatz să ajungă la nivelul de privilegiu debug, și arată astfel:
mimikatz # privilege::debug
Privilege ’20’ OK
Pentru a înregistra un jurnal al interacțiunilor și rezultatelor Mimikatz, introduceți:
mimikatz # log
Utilizarea ‘mimikatz.log’ for logfile : OK
Filierul de jurnal implicit este mimikatz.log, dar puteți specifica un alt nume de fișier de jurnal cu o comandă. De exemplu:
mimikatz # log customlogfilename.log
După ce jurnalizarea este activată, restul sesiunii va fi înregistrată în scopuri de exfiltrare sau analiză.
Poate cea mai simplă și mai productivă comandă este cea care extrage parolele în text simplu, le listează pe ecranul consolei și le scrie în fișierul jurnal.
mimikatz # sekurlsa::logonpasswords
Comanda logonpasswords extrage un ID de utilizator și o parolă pentru utilizatorii momentan conectați și recent conectați ai sistemului țintă.
Modulul sekurlsa include și alte comenzi pentru a extrage acreditările Kerberos și cheile de criptare și poate chiar efectua un atac pass-the-hash folosind acreditările pe care Mimikatz le extrage.
Acest tutorial Mimikatz este conceput ca o introducere la instrumentul de hacking. Merită să știți cum funcționează Mimikatz în practică și cât de ușor face exploatările de sistem chiar și pentru atacatorii nesofisticați.
.