Mimikatz
¿Qué es Mimikatz?
MimikatzHerramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
Mimikatz es una herramienta de acceso a credenciales creada por Benjamin Delpy (gentilkiwi) para demostrar debilidades fundamentales de la autenticacion en Windows, especialmente en la memoria de LSASS y en proveedores SSPI (WDigest, Tspkg, Kerberos, MSV). Puede volcar credenciales, forjar tickets Kerberos Golden y Silver, ejecutar pass-the-hash y pass-the-ticket, y manipular certificados. Aunque nacio como proyecto de investigacion, es esencial en kits de red team y muy usada por actores de ransomware tras obtener acceso al dominio. Defensas modernas (Credential Guard, proteccion LSA, EDR, restricted admin, administracion por niveles) reducen su impacto, pero sigue siendo una referencia clave para ingenieria de deteccion.
● Ejemplos
- 01
Ejecutar sekurlsa::logonpasswords para volcar credenciales desde un dump de LSASS.
- 02
Forjar un Golden Ticket con kerberos::golden tras comprometer la cuenta krbtgt.
● Preguntas frecuentes
¿Qué es Mimikatz?
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Mimikatz?
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
¿Cómo funciona Mimikatz?
Mimikatz es una herramienta de acceso a credenciales creada por Benjamin Delpy (gentilkiwi) para demostrar debilidades fundamentales de la autenticacion en Windows, especialmente en la memoria de LSASS y en proveedores SSPI (WDigest, Tspkg, Kerberos, MSV). Puede volcar credenciales, forjar tickets Kerberos Golden y Silver, ejecutar pass-the-hash y pass-the-ticket, y manipular certificados. Aunque nacio como proyecto de investigacion, es esencial en kits de red team y muy usada por actores de ransomware tras obtener acceso al dominio. Defensas modernas (Credential Guard, proteccion LSA, EDR, restricted admin, administracion por niveles) reducen su impacto, pero sigue siendo una referencia clave para ingenieria de deteccion.
¿Cómo defenderse de Mimikatz?
Las defensas contra Mimikatz combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Mimikatz?
Nombres alternativos comunes: mimi, kekeo, Invoke-Mimikatz.
● Términos relacionados
- defense-ops№ 229
Acceso a Credenciales
Táctica MITRE ATT&CK (TA0006) que cubre las técnicas usadas para robar nombres de cuenta, contraseñas, tokens y otros secretos.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.
- attacks№ 447
Golden Ticket
Ticket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio.
- attacks№ 1045
Silver Ticket
Ticket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio.
- attacks№ 583
Kerberoasting
Ataque offline de contrasenas que solicita tickets de servicio Kerberos a cuentas de servicio y rompe la parte cifrada para recuperar la contrasena en claro.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
● Véase también
- № 791Pass-the-Ticket
- № 616Living off the Land
- № 632LOLBin / LOLBAS
- № 332Inyeccion de DLL
- № 862Inyeccion de procesos
- № 045Bypass de AMSI
- № 1002SeDebugPrivilege
- № 1162Impersonacion de token