Benjamin Delpy a initialement créé Mimikatz comme preuve de concept pour démontrer la vulnérabilité de Microsoft aux attaques sur leurs protocoles d'authentification. Au lieu de cela, il a créé par inadvertance l'un des outils de piratage les plus utilisés et les plus téléchargés des 20 dernières années.
Jake Williams de Rendition Infosec déclare: "Mimikatz a fait plus pour améliorer la sécurité que tout autre outil que je connais . " Si la sécurisation des réseaux Windows est votre travail, il est important de rester à jour avec les dernières mises à jour de Mimikatz pour comprendre les techniques que les pirates utiliseront pour infiltrer vos réseaux et garder une longueur d'avance.
Qu'est-ce que Mimikatz?
Mimikatz est une application open source qui permet aux utilisateurs d'afficher et d'enregistrer les informations d'authentification telles que les tickets Kerberos . Benjamin Delpy continue de diriger le développement de Mimikatz, donc la boîte à outils fonctionne avec la version actuelle de Windows et inclut les attaques les plus avancées.
Les attaquants utilisent couramment Mimikatz pour voler les informations d'identification et élever les privilèges: dans la plupart des cas, les logiciels de protection des terminaux et les systèmes antivirus le détectent et le suppriment. À l'inverse, les testeurs d'intrusion utilisent Mimikatz pour découvrir et tester les vulnérabilités de vos réseaux afin que vous puissiez les corriger.
Fonctionnalités de Mimikatz
Mimikatz a montré à l'origine comment exploiter une vulnérabilité dans le système d'authentification Windows. Cet outil couvre désormais plusieurs types de vulnérabilités. Mimikatz peut effectuer les méthodes de collecte d'informations d'identification suivantes:
- Pass-the-Hash : Auparavant, Windows stockait les informations d'authentification dans un hachage NTLM . Les attaquants utilisent Mimikatz pour transmettre la chaîne de hachage exacte à l'ordinateur cible pour la connexion. Les attaquants n'ont même pas besoin de déchiffrer le mot de passe, ils ont juste besoin d'intercepter le hachage et de l'utiliser sans aucun traitement. C'est la même chose que de trouver la clé de toutes les portes de la maison sur le sol. Vous avez besoin d'une clé pour ouvrir n'importe quelle porte.
- Pass-the-Ticket ( ): Windows , (Ticket). Mimikatz Kerberos . , .
- Over-Pass the Hash (Pass the Key): pass-the-hash, , .
- Kerberos Golden Ticket): (pass-the-ticket), KRBTGT. .« » .
- Kerberos Silver Ticket: pass-the-ticket, « » Windows, . Kerberos (TGS), . Microsoft (TGS) , .
- Pass-the-Cache): , Windows! , Mac/UNIX/Linux.
Mimikatz
Vous pouvez télécharger Mimikatz depuis le GitHub de Benjamin Delpy. Il offre plusieurs options de téléchargement, d'un exécutable au code source , que vous devrez compiler avec Visual Studio 2010 ou plus récent.
Comment utiliser Mimikatz
Après avoir exécuté l'exécutable Mimikatz, la console interactive Mimikatz apparaîtra, où vous pourrez exécuter des commandes en temps réel.
Exécutez Mimikatz en tant qu'administrateur: pour que Mimikatz fonctionne correctement, sélectionnez Exécuter en tant qu'administrateur, même si vous utilisez un compte administrateur.
Vérification de la version de Mimikatz
Il existe 2 versions de Mimikatz: 32 bits et 64 bits. Assurez-vous que vous utilisez la version correcte pour votre bit Windows. Exécutez la commande version à partir de la ligne de commande Mimikatz pour obtenir des informations sur l'exécutable Mimikatz, la version Windows et s'il existe des paramètres Windows qui pourraient empêcher Mimikatz de fonctionner correctement.
Récupération des
mots de passe en texte clair de la mémoire Le module sekurlsa de Mimikatz vous permet de récupérer les mots de passe de la mémoire. Pour utiliser les commandes du module sekurlsa, vous devez disposer des droits d'administrateur ou de niveau système.
Exécutez d'abord la commande:
mimikatz # privilege::debug
Vous verrez si vous disposez des autorisations appropriées pour continuer.
Ensuite, démarrez les fonctions de journalisation, à l'avenir, vous aurez peut-être besoin de ce journal dans votre travail:
mimikatz # log nameoflog.log
Enfin, affichez tous les mots de passe stockés sur cet ordinateur en texte brut:
mimikatz # sekurlsa::logonpasswords
Utilisation d'autres modules Mimikatz
Le module de chiffrement expose la CryptoAPI sur Windows, qui vous permet d'énumérer et d'exporter les certificats et leurs clés privées, même s'ils sont marqués comme non exportables.
Le module Kerberos accède à l'API Kerberos, vous pouvez donc tester cette fonctionnalité en récupérant et en gérant les tickets Kerberos .
Le module de services vous permet de démarrer, d'arrêter, de désactiver et d'effectuer d'autres opérations sur les services Windows.
Et enfin, la commande coffee produit une image ASCII du café, car tout le monde a besoin de café.
Mimikatz est capable de bien plus Si vous êtes intéressé par les tests de pénétration ou si vous souhaitez simplement approfondir les fonctionnalités internes de l'authentification Windows, consultez les liens ci-dessous.
- Guide de test de pénétration pour les environnements Active Directory
- Manuel non officiel de Mimikatz et référence des commandes
- Koadic: malware LOL et serveur de commande et de contrôle Python
- Encyclopédie officielle de Mimikatz
Vous voulez voir Mimikatz en action et découvrir comment Varonis vous protège des intrus? Rejoignez notre atelier interactif gratuit sur les cyberattaques et découvrez comment les ingénieurs de Varonis mènent une cyberattaque dans notre laboratoire de sécurité.