Mimikatz
Qu'est-ce que Mimikatz ?
MimikatzOutil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
Mimikatz est un outil d'acces aux identifiants cree par Benjamin Delpy (gentilkiwi) pour demontrer des faiblesses fondamentales de l'authentification Windows, en particulier dans la memoire LSASS et les fournisseurs SSPI (WDigest, Tspkg, Kerberos, MSV). Il peut extraire des identifiants, forger des tickets Kerberos Golden et Silver, executer pass-the-hash et pass-the-ticket, et manipuler des certificats. Bien que ne comme un projet de recherche, il est devenu incontournable dans les kits red team et est massivement utilise par les groupes ransomware apres une intrusion. Les defenses Windows modernes (Credential Guard, LSA Protection, EDR, restricted admin, administration par tiers) en reduisent fortement la portee, mais il reste un repere essentiel du detection engineering.
● Exemples
- 01
Executer sekurlsa::logonpasswords pour extraire des identifiants depuis un dump LSASS.
- 02
Forger un Golden Ticket via kerberos::golden apres la compromission du compte krbtgt.
● Questions fréquentes
Qu'est-ce que Mimikatz ?
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Mimikatz ?
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
Comment fonctionne Mimikatz ?
Mimikatz est un outil d'acces aux identifiants cree par Benjamin Delpy (gentilkiwi) pour demontrer des faiblesses fondamentales de l'authentification Windows, en particulier dans la memoire LSASS et les fournisseurs SSPI (WDigest, Tspkg, Kerberos, MSV). Il peut extraire des identifiants, forger des tickets Kerberos Golden et Silver, executer pass-the-hash et pass-the-ticket, et manipuler des certificats. Bien que ne comme un projet de recherche, il est devenu incontournable dans les kits red team et est massivement utilise par les groupes ransomware apres une intrusion. Les defenses Windows modernes (Credential Guard, LSA Protection, EDR, restricted admin, administration par tiers) en reduisent fortement la portee, mais il reste un repere essentiel du detection engineering.
Comment se défendre contre Mimikatz ?
Les défenses contre Mimikatz combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Mimikatz ?
Noms alternatifs courants : mimi, kekeo, Invoke-Mimikatz.
● Termes liés
- defense-ops№ 229
Accès aux identifiants
Tactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets.
- attacks№ 790
Pass-the-Hash
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.
- attacks№ 447
Golden Ticket
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.
- attacks№ 1045
Silver Ticket
Ticket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service.
- attacks№ 583
Kerberoasting
Attaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffree afin de retrouver le mot de passe en clair.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
● Voir aussi
- № 791Pass-the-Ticket
- № 616Living off the Land
- № 632LOLBin / LOLBAS
- № 332Injection de DLL
- № 862Injection de processus
- № 045Bypass d'AMSI
- № 1002SeDebugPrivilege
- № 1162Impersonation de token