Was ist Mimikatz: Ein Leitfaden für Anfänger

Benjamin Delpy hat Mimikatz ursprünglich als Proof of Concept erstellt, um die Anfälligkeit von Microsoft für Angriffe auf ihre Authentifizierungsprotokolle zu demonstrieren. Stattdessen hat er versehentlich eines der am häufigsten verwendeten und heruntergeladenen Hacking-Tools der letzten 20 Jahre erstellt.



Jake Williams von Rendition Infosec sagt: "Mimikatz hat mehr zur Verbesserung der Sicherheit beigetragen als jedes andere mir bekannte Tool . " Wenn es Ihre Aufgabe ist, Windows-Netzwerke zu sichern, ist es wichtig, über die neuesten Mimikatz-Updates auf dem Laufenden zu bleiben, um die Techniken zu verstehen, mit denen Hacker Ihre Netzwerke infiltrieren und einen Schritt voraus sind.

Was ist Mimikatz?

Mimikatz ist eine Open Source-Anwendung, mit der Benutzer Authentifizierungsdaten wie Kerberos-Tickets anzeigen und speichern können . Benjamin Delpy leitet weiterhin die Entwicklung von Mimikatz, daher funktioniert das Toolkit mit der aktuellen Windows-Version und enthält die fortschrittlichsten Angriffe.



Angreifer verwenden Mimikatz häufig, um Anmeldeinformationen zu stehlen und Berechtigungen zu erhöhen: In den meisten Fällen erkennen und entfernen Endpoint Protection-Software und Antivirensysteme diese. Umgekehrt verwenden Penetrationstester Mimikatz, um Schwachstellen in Ihren Netzwerken zu entdecken und zu testen, damit Sie sie beheben können.

Mimikatz-Funktionen

Mimikatz hat ursprünglich gezeigt, wie eine Sicherheitsanfälligkeit im Windows-Authentifizierungssystem ausgenutzt werden kann. Dieses Tool deckt nun verschiedene Arten von Sicherheitslücken ab. Mimikatz kann die folgenden Methoden zum Sammeln von Anmeldeinformationen ausführen:

• Pass-the-Hash : Bisher hat Windows Authentifizierungsdaten in einem NTLM-Hash gespeichert . Angreifer verwenden Mimikatz, um die genaue Hash-Zeichenfolge zur Anmeldung an den Zielcomputer zu übergeben. Angreifer müssen nicht einmal das Passwort knacken, sondern nur den Hash abfangen und ohne Verarbeitung verwenden. Dies ist das gleiche wie das Finden des Schlüssels zu allen Türen des Hauses auf dem Boden. Sie benötigen einen Schlüssel, um eine Tür zu öffnen.
• Pass-the-Ticket ( ): Windows , (Ticket). Mimikatz Kerberos . , .
• Over-Pass the Hash (Pass the Key): pass-the-hash, , .
• Kerberos Golden Ticket): (pass-the-ticket), KRBTGT. .« » .
• Kerberos Silver Ticket: pass-the-ticket, « » Windows, . Kerberos (TGS), . Microsoft (TGS) , .
• Pass-the-Cache): , Windows! , Mac/UNIX/Linux.

Mimikatz

Sie können Mimikatz von Benjamin Delpys GitHub herunterladen. Es bietet verschiedene Downloadoptionen, von einer ausführbaren Datei bis zum Quellcode , die Sie mit Visual Studio 2010 oder neuer kompilieren müssen.

Wie man Mimikatz benutzt

Nach dem Ausführen der ausführbaren Mimikatz-Datei wird die interaktive Mimikatz-Konsole angezeigt, in der Sie Befehle in Echtzeit ausführen können.



Mimikatz als Administrator ausführen: Damit Mimikatz ordnungsgemäß funktioniert, wählen Sie Als Administrator ausführen, auch wenn Sie ein Administratorkonto verwenden.



Überprüfen der Mimikatz-Version

Es gibt zwei Versionen von Mimikatz: 32-Bit und 64-Bit. Stellen Sie sicher, dass Sie die richtige Version für Ihr Windows-Bit verwenden. Führen Sie den Versionsbefehl über die Mimikatz-Befehlszeile aus, um Informationen zur ausführbaren Mimikatz-Datei, zur Windows-Version und zu Windows-Einstellungen zu erhalten, die möglicherweise verhindern, dass Mimikatz ordnungsgemäß funktioniert.



Klartext-

Passwörter aus dem Speicher abrufen Mit dem Modul sekurlsa in Mimikatz können Sie Passwörter aus dem Speicher abrufen. Um Befehle im sekurlsa-Modul verwenden zu können, müssen Sie über Administrator- oder Systemebenenrechte verfügen.



Führen Sie zuerst den Befehl aus:

mimikatz # privilege::debug 

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Sie werden sehen, ob Sie über die entsprechenden Berechtigungen verfügen, um fortzufahren.

Starten Sie dann die Protokollierungsfunktionen. In Zukunft benötigen Sie dieses Protokoll möglicherweise für Ihre Arbeit:

mimikatz # log nameoflog.log

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Geben Sie abschließend alle auf diesem Computer gespeicherten Kennwörter im Klartext aus:

mimikatz # sekurlsa::logonpasswords

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Verwendung anderer Mimikatz-Module

Das Verschlüsselungsmodul macht die CryptoAPI unter Windows verfügbar, mit der Sie Zertifikate und ihre privaten Schlüssel auflisten und exportieren können, auch wenn sie als nicht exportierbar markiert sind.



Das Kerberos-Modul greift auf die Kerberos-API zu, sodass Sie mit dieser Funktionalität experimentieren können, indem Sie Kerberos-Tickets abrufen und verwalten .



Mit dem Servicemodul können Sie Windows-Dienste starten, stoppen, deaktivieren und andere Vorgänge ausführen.



Und schließlich gibt der Kaffeebefehl ein ASCII-Bild von Kaffee aus, da jeder Kaffee benötigt.



Mimikatz kann noch viel mehr Wenn Sie an Penetrationstests interessiert sind oder einfach nur die Interna der Windows-Authentifizierung kennenlernen möchten, lesen Sie die folgenden Links.

• Penetrationstesthandbuch für Active Directory-Umgebungen
• Inoffizielles Mimikatz-Handbuch und Befehlsreferenz
• Koadic: LOL-Malware und Python-Befehls- und Kontrollserver
• Offizielle Enzyklopädie von Mimikatz

Möchten Sie Mimikatz in Aktion sehen und herausfinden, wie Varonis Sie vor Eindringlingen schützt? Nehmen Sie an unserem kostenlosen interaktiven praktischen Cyberangriff- Workshop teil und sehen Sie in unserem Sicherheitslabor, wie Varonis-Ingenieure einen Cyberangriff durchführen.