Mimikatz

Mimikatz^[1][2][3] to oprogramowanie open source stworzone przez Benjamina Delpy służące do zbierania i wykorzystywania poświadczeń w systemach Microsoft Windows. Mimikatz jest przede wszystkim narzędziem typu „post-exploitation”, co oznacza, że jest wykorzystywany na już skompromitowanej przez atakującego maszynie. Atakujący używa go najczęściej, aby rozszerzyć swój dostęp w organizacji i ostatecznie uzyskać pełną kontrolę nad danym celem (stacją roboczą, siecią itp.). Mimikatz jest często używany w cyberatakach np. w ransomware Petya^[4].

Historia

Narzędzie Mimikatz według jego autora powstało aby nauczyć się języka C i wewnętrznych mechanizmów działania systemu Windows^[1]. Pierwsza wersja programu Mimikatz powstała w 2007 roku i był znana pod różnymi nazwami: kdll, kdllpipe, katz, mimikatz.

Funkcje

Oprogramowanie Mimikatz pozwala wydobyć z systemu Windows hasła, hasze haseł, kody PIN, bilety kerberos. Dodatkowo obsługuje ataki typu pass-the-hash, pass-the-ticket itp. Wydobyte w ten sposób dane uwierzytelniania mogą być później użyte do pozyskania pełnej kontroli nad stacjami roboczymi lub siecią (zależnie od uzyskanych danych). Obecnie większość programów antywirusowych wykrywa binarne pliki narzędzia Mimikatz^[5]. 

Przykład pokazujący wyodrębnianie haseł przez program Mimikatz

mimikatz # sekurlsa::logonpasswords Authentication Id : 0 ; 88038 (00000000:000157e6) Session  : Interactive from 1 User Name  : Gentil Kiwi Domain  : vm-w7-ult SID  : S-1-5-21-2044528444-627255920-3055224092-1000 msv : [00000003] Primary * Username : Gentil Kiwi * Domain  : vm-w7-ult * LM  : d0e9aee149655a6075e4540af1f22d3b * NTLM  : cc36cf7a8514893efccd332446158b1a * SHA1  : a299912f3dc7cf0023aef8e4361abfc03e9a8c30 tspkg : * Username : Gentil Kiwi * Domain  : vm-w7-ult * Password : waza1234/ wdigest : * Username : Gentil Kiwi * Domain  : vm-w7-ult * Password : waza1234/ kerberos : * Username : Gentil Kiwi * Domain  : vm-w7-ult * Password : waza1234/ ssp : [00000000] * Username : admin * Domain  : nas * Password : anotherpassword credman : [00000000] * Username : nas\admin * Domain  : nas.chocolate.local * Password : anotherpassword

Narzędzie Mimikatz zostało także przeniesione na platformę Metasploit^[6][7]

Przypisy

1. BenjaminB. DELPY BenjaminB., A little tool to play with Windows security. Contribute to gentilkiwi/mimikatz development by creating an account on GitHub [online], 22 sierpnia 2019 [dostęp 2019-08-22] .
2. MikeM. O'Leary MikeM., Cyber Operations: Building, Defending, and Attacking Modern Computer Networks, Apress, 24 marca 2019, ISBN 978-1-4842-4294-0 [dostęp 2019-08-22]  (ang.).brak strony (książka)
3. ShahramS. Latifi ShahramS., Information Technology: New Generations: 13th International Conference on Information Technology, Springer, 28 marca 2016, ISBN 978-3-319-32467-8 [dostęp 2019-08-22]  (ang.).brak strony (książka)
4. Ransomware Petya - co to jest i jak ochronić komputer [online], www.avast.com [dostęp 2019-08-22] .
5. Hacktool.Mimikatz | Symantec [online], www.symantec.com [dostęp 2019-08-22] .
6. Metasploit Framework. Contribute to rapid7/metasploit-framework development by creating an account on GitHub, Rapid7, 22 sierpnia 2019 [dostęp 2019-08-22] .brak strony (książka)
7. AbhinavA. Singh AbhinavA. i inni, Metasploit Penetration Testing Cookbook: Evade antiviruses, bypass firewalls, and exploit complex environments with the most widely used penetration testing framework, 3rd Edition, Packt Publishing Ltd, 26 lutego 2018, ISBN 978-1-78862-971-3 [dostęp 2019-08-22]  (ang.).brak strony (książka)