Mimikatz изначально был разработан Бенджамином Дельпи, чтобы продемонстрировать Microsoft, что их протоколы аутентификации могут быть взломаны злоумышленниками. При этом он непреднамеренно создал один из наиболее используемых и загружаемых хакерских инструментов за последние 20 лет.

Эксперты считают, что Mimikatz сделал больше для повышения безопасности, чем любой другой известный инструмент. Хакеры могут проникнуть в ваши сети – будьте на шаг впереди них.

Mimikatz — это программа с открытым исходным кодом, которая позволяет пользователям просматривать и хранить данные аутентификации, такие как билеты Kerberos. Дальнейшую разработку Mimikatz по-прежнему будет возглавлять Бенжамен Дельпи. Вот почему набор инструментов работает со всеми текущими выпусками Windows и содержит новейшие атаки.

Злоумышленники обычно используют Mimikatz для кражи учетных данных и получения повышенных привилегий: в большинстве случаев он обнаруживается и удаляется защитным программным обеспечением на конечных точках и антивирусных системах. Пентестеры, с другой стороны, используют Mimikatz для обнаружения и использования брешей в безопасности в своих сетях, чтобы можно было их закрыть.

Первоначально Mimikatz продемонстрировал, как можно использовать одну уязвимость в системе аутентификации Windows. В настоящее время этот инструмент обнаруживает различные типы уязвимостей безопасности. Mimikatz можно использовать для выполнения различных методов сбора учетных данных, например:

Pass-the-Hash. Windows использует для хранения данных пароля хеш NTLM. Злоумышленники используют Mimikatz для передачи именно этой хэш-строки входа на атакуемый компьютер. Злоумышленникам даже не нужно взламывать пароль, они могут просто использовать хеш-строку в неизмененном виде. Это похоже на поиск главного ключа от здания на земле. Вам понадобится только один ключ, чтобы открыть все двери.

Pass-the-Ticket. Новые версии Windows хранят данные пароля в конструкции, называемой билетом. Mimikatz предоставляет пользователю возможность передать билет Kerberos на другой компьютер и войти туда с помощью билета этого пользователя. Во всех остальных отношениях это эквивалентно методу передачи хэша.

Over-Pass the Hash (Pass-the-Key). Еще один вариант передачи хеша, но этот метод включает в себя передачу уникального ключа для олицетворения пользователя, который вы можете получить с контроллера домена.

Золотой билет Kerberos. Это атака с передачей билетов, но с использованием специального билета для скрытой учетной записи под названием KRBTGT, который шифрует все остальные билеты. Золотой билет дает вам бессрочные права администратора домена на всех компьютерах в сети.

Серебряный билет Kerberos. Еще один метод передачи билета. Серебряный билет использует функцию Windows, которая упрощает использование служб в сети. Kerberos выдает пользователю билет TGS, который позволяет ему входить во все службы сети. Microsoft не всегда проверяет TGS после его выдачи, поэтому его можно легко переправить с помощью мер безопасности.

Pass-the-Cache. Наконец-то атака, не использующая преимущества Windows! Атака с передачей кэша обычно аналогична атаке с передачей билета, но использует сохраненные и зашифрованные учетные данные в системе Mac/UNIX/Linux.

Скачать Mimikatz можно с GitHub Бенджамина Дельпи — он предлагает несколько вариантов загрузки, от исполняемого файла до исходного кода. Его необходимо скомпилировать с помощью Visual Studio 2010 или более поздней версии.

Когда вы запускаете Mimikatz с исполняемой программой, вам предоставляется консоль Mimikatz в интерактивном режиме, из которой вы можете выполнять команды в реальном времени.

Запуск Mimikatz от имени администратора

Чтобы получить полную функциональность Mimikatz, выберите «Запуск от имени администратора», даже если вы используете учетную запись администратора.

Проверка версии Mimikatz

Существует две версии Mimikatz: 32-битная и 64-битная. Убедитесь, что вы используете правильную версию для вашей установки Windows. Команда «Version» позволяет Mimikatz получить информацию о версии исполняемого файла, версии Windows и узнать, препятствуют ли настройки Windows правильной работе Mimikatz.

Извлечение паролей в виде открытого текста из памяти

Модуль Sekursla Mimikatz позволяет сбрасывать пароли из памяти. Чтобы использовать команды в модуле Sekursla, вам необходимы права администратора или СИСТЕМЫ.

Сначала запустите эту команду:

mimikatz # privilege::debug

Из выходных данных вы можете увидеть, есть ли у вас необходимые разрешения для продолжения.

Затем запустите функции журнала, чтобы позже просмотреть свою работу.

mimikatz # log nameoflog.log

И, наконец, выведите все пароли в виде открытого текста, хранящиеся на этом компьютере.

mimikatz # sekurlsa::logonpasswords

Использование других модулей Mimikatz

Модуль шифрования позволяет вам получить доступ к API-интерфейсу Crypto в Windows, который позволяет вам перечислять и экспортировать сертификаты и их закрытые ключи, даже если они помечены как не подлежащие экспорту.

Модуль Kerberos обращается к API Kerberos, поэтому вы можете экспериментировать с этой функциональностью, извлекая и манипулируя билетами Kerberos.

Модуль «Службы» позволяет запускать, останавливать, отключать службы Windows и т. д.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.