Mimikatz
Was ist Mimikatz?
MimikatzEin Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
Mimikatz ist ein Credential-Access-Tool von Benjamin Delpy (gentilkiwi), das fundamentale Schwaechen der Windows-Authentifizierung demonstriert, insbesondere im LSASS-Speicher und in den SSPI-Providern (WDigest, Tspkg, Kerberos, MSV). Es kann Credentials extrahieren, Kerberos Golden und Silver Tickets faelschen, Pass-the-Hash und Pass-the-Ticket ausfuehren und Zertifikate manipulieren. Urspruenglich ein Forschungsprojekt, gehoert es heute zur Standardausruestung von Red Teams und wird von Ransomware-Akteuren nach erlangtem Domain-Zugriff massiv missbraucht. Moderne Windows-Schutzmechanismen (Credential Guard, LSA-Schutz, EDR, Restricted Admin Mode, Tiered Administration) verringern seine Wirkung deutlich, dennoch bleibt es eine zentrale Referenz fuer Detection Engineering.
● Beispiele
- 01
sekurlsa::logonpasswords dumpt Anmeldedaten aus einem LSASS-Speicherabbild.
- 02
Faelschen eines Golden Tickets mit kerberos::golden nach Kompromittierung des krbtgt-Kontos.
● Häufige Fragen
Was ist Mimikatz?
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Mimikatz?
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
Wie funktioniert Mimikatz?
Mimikatz ist ein Credential-Access-Tool von Benjamin Delpy (gentilkiwi), das fundamentale Schwaechen der Windows-Authentifizierung demonstriert, insbesondere im LSASS-Speicher und in den SSPI-Providern (WDigest, Tspkg, Kerberos, MSV). Es kann Credentials extrahieren, Kerberos Golden und Silver Tickets faelschen, Pass-the-Hash und Pass-the-Ticket ausfuehren und Zertifikate manipulieren. Urspruenglich ein Forschungsprojekt, gehoert es heute zur Standardausruestung von Red Teams und wird von Ransomware-Akteuren nach erlangtem Domain-Zugriff massiv missbraucht. Moderne Windows-Schutzmechanismen (Credential Guard, LSA-Schutz, EDR, Restricted Admin Mode, Tiered Administration) verringern seine Wirkung deutlich, dennoch bleibt es eine zentrale Referenz fuer Detection Engineering.
Wie schützt man sich gegen Mimikatz?
Schutzmaßnahmen gegen Mimikatz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Mimikatz?
Übliche alternative Bezeichnungen: mimi, kekeo, Invoke-Mimikatz.
● Verwandte Begriffe
- defense-ops№ 229
Credential Access
MITRE-ATT&CK-Taktik (TA0006), die Techniken zum Diebstahl von Kontonamen, Passwörtern, Token und anderen Geheimnissen bündelt.
- attacks№ 790
Pass-the-Hash
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.
- attacks№ 447
Golden Ticket
Gefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren.
- attacks№ 1045
Silver Ticket
Mit dem Hash eines bestimmten Dienstkontos gefaelschtes Kerberos-Service-Ticket (TGS), das stillen Zugriff auf genau diesen Dienst gewaehrt.
- attacks№ 583
Kerberoasting
Offline-Passwortangriff, der Kerberos-Service-Tickets fuer Dienstkonten anfordert und den verschluesselten Teil knackt, um deren Klartext-Passwoerter zu gewinnen.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
● Siehe auch
- № 791Pass-the-Ticket
- № 616Living off the Land
- № 632LOLBin / LOLBAS
- № 332DLL-Injection
- № 862Process Injection
- № 045AMSI-Bypass
- № 1002SeDebugPrivilege
- № 1162Token-Impersonation