¿Qué es Mimikatz: una guía para principiantes?

Benjamin Delpy creó originalmente Mimikatz como una prueba de concepto para demostrar la vulnerabilidad de Microsoft a los ataques a sus protocolos de autenticación. En cambio, creó sin darse cuenta una de las herramientas de piratería más utilizadas y descargadas de los últimos 20 años.



Jake Williams de Rendition Infosec dice, "Mimikatz ha hecho más para mejorar la seguridad que cualquier otra herramienta que conozco" . Si proteger las redes de Windows es su trabajo, es importante mantenerse actualizado con las últimas actualizaciones de Mimikatz para comprender las técnicas que los piratas informáticos usarán para infiltrarse en sus redes y mantenerse un paso por delante.

¿Qué es Mimikatz?

Mimikatz es una aplicación de código abierto que permite a los usuarios ver y guardar credenciales de autenticación, como tickets de Kerberos . Benjamin Delpy continúa liderando el desarrollo de Mimikatz, por lo que el kit de herramientas funciona con la versión actual de Windows e incluye los ataques más avanzados.



Los atacantes suelen utilizar Mimikatz para robar credenciales y elevar privilegios: en la mayoría de los casos, el software de protección de terminales y los sistemas antivirus lo detectan y eliminan. Por el contrario, los probadores de penetración utilizan Mimikatz para descubrir y probar vulnerabilidades en sus redes para que pueda corregirlas.

Funciones de Mimikatz

Mimikatz demostró originalmente cómo aprovechar una vulnerabilidad en el sistema de autenticación de Windows. Ahora, esta herramienta cubre varios tipos diferentes de vulnerabilidades. Mimikatz puede realizar los siguientes métodos de recopilación de credenciales:

• Pass-the-Hash : anteriormente, Windows almacenaba las credenciales de autenticación en un hash NTLM . Los atacantes usan Mimikatz para pasar la cadena hash exacta a la computadora de destino para iniciar sesión. Los atacantes ni siquiera necesitan descifrar la contraseña, solo necesitan interceptar el hash y usarlo sin ningún procesamiento. Esto es lo mismo que encontrar la llave de todas las puertas de la casa en el suelo. Necesita una llave para abrir cualquier puerta.
• Pass-the-Ticket ( ): Windows , (Ticket). Mimikatz Kerberos . , .
• Over-Pass the Hash (Pass the Key): pass-the-hash, , .
• Kerberos Golden Ticket): (pass-the-ticket), KRBTGT. .« » .
• Kerberos Silver Ticket: pass-the-ticket, « » Windows, . Kerberos (TGS), . Microsoft (TGS) , .
• Pass-the-Cache): , Windows! , Mac/UNIX/Linux.

Mimikatz

Puede descargar Mimikatz desde GitHub de Benjamin Delpy. Ofrece varias opciones de descarga, desde un ejecutable hasta un código fuente , que deberá compilar con Visual Studio 2010 o más reciente.

Cómo usar Mimikatz

Después de ejecutar el ejecutable de Mimikatz, aparecerá la consola interactiva de Mimikatz, donde puede ejecutar comandos en tiempo real.



Ejecute Mimikatz como administrador: para que Mimikatz funcione correctamente, seleccione Ejecutar como administrador, incluso si está utilizando una cuenta de administrador.



Comprobación de la versión de Mimikatz

Hay 2 versiones de Mimikatz: 32 bits y 64 bits. Asegúrese de que está utilizando la versión correcta para su bit de Windows. Ejecute el comando de la versión desde la línea de comandos de Mimikatz para obtener información sobre el ejecutable de Mimikatz, la versión de Windows y si hay alguna configuración de Windows que pueda impedir que Mimikatz funcione correctamente.



Recuperación de

contraseñas de texto sin cifrar de la memoria El módulo sekurlsa en Mimikatz le permite recuperar contraseñas de la memoria. Para usar comandos en el módulo sekurlsa, debe tener derechos de administrador o de nivel de sistema.



Primero ejecute el comando:

mimikatz # privilege::debug 

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Verá si tiene los permisos adecuados para continuar.

Luego inicie las funciones de registro, en el futuro es posible que necesite este registro en su trabajo:

mimikatz # log nameoflog.log

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Finalmente, genere todas las contraseñas almacenadas en esta computadora en texto sin formato:

mimikatz # sekurlsa::logonpasswords

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Usando otros módulos de Mimikatz

El módulo de cifrado expone CryptoAPI en Windows, lo que le permite enumerar y exportar certificados y sus claves privadas, incluso si están marcados como no exportables.



El módulo Kerberos accede a la API de Kerberos, por lo que puede experimentar con esta funcionalidad recuperando y administrando tickets de Kerberos .



El módulo de servicios le permite iniciar, detener, deshabilitar y realizar otras operaciones en los servicios de Windows.



Y finalmente, el comando de café genera una imagen ASCII de café, porque todos necesitan café.



Mimikatz es capaz de mucho más. Si está interesado en las pruebas de penetración o simplemente desea profundizar en los aspectos internos de la autenticación de Windows, consulte los enlaces a continuación.

• Guía de pruebas de penetración para entornos de Active Directory
• Manual no oficial de Mimikatz y referencia de comandos
• Koadic: servidor de comando y control de malware LOL y Python
• Enciclopedia oficial de Mimikatz

¿Quieres ver a Mimikatz en acción y descubrir cómo Varonis te protege de los intrusos? Únase a nuestro taller práctico e interactivo sobre ciberataques y vea cómo los ingenieros de Varonis llevan a cabo un ciberataque en nuestro laboratorio de seguridad.