Mimikatz
O que é Mimikatz?
MimikatzFerramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
O Mimikatz e uma ferramenta de acesso a credenciais criada por Benjamin Delpy (gentilkiwi) para demonstrar fraquezas fundamentais da autenticacao no Windows, especialmente na memoria do LSASS e nos provedores SSPI (WDigest, Tspkg, Kerberos, MSV). Permite extrair credenciais, forjar tickets Kerberos Golden e Silver, executar pass-the-hash e pass-the-ticket e manipular certificados. Originalmente um projeto de pesquisa, tornou-se pilar de kits de red team e e amplamente abusado por grupos de ransomware apos acesso inicial ao dominio. Defesas modernas do Windows (Credential Guard, protecao do LSA, EDR, restricted admin, administracao em camadas) reduzem significativamente seu impacto, mas ele permanece como referencia essencial para engenharia de deteccao.
● Exemplos
- 01
Executar sekurlsa::logonpasswords para extrair credenciais de uma imagem de memoria do LSASS.
- 02
Forjar um Golden Ticket via kerberos::golden apos comprometer a conta krbtgt.
● Perguntas frequentes
O que é Mimikatz?
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Mimikatz?
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
Como funciona Mimikatz?
O Mimikatz e uma ferramenta de acesso a credenciais criada por Benjamin Delpy (gentilkiwi) para demonstrar fraquezas fundamentais da autenticacao no Windows, especialmente na memoria do LSASS e nos provedores SSPI (WDigest, Tspkg, Kerberos, MSV). Permite extrair credenciais, forjar tickets Kerberos Golden e Silver, executar pass-the-hash e pass-the-ticket e manipular certificados. Originalmente um projeto de pesquisa, tornou-se pilar de kits de red team e e amplamente abusado por grupos de ransomware apos acesso inicial ao dominio. Defesas modernas do Windows (Credential Guard, protecao do LSA, EDR, restricted admin, administracao em camadas) reduzem significativamente seu impacto, mas ele permanece como referencia essencial para engenharia de deteccao.
Como se defender contra Mimikatz?
As defesas contra Mimikatz costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Mimikatz?
Nomes alternativos comuns: mimi, kekeo, Invoke-Mimikatz.
● Termos relacionados
- defense-ops№ 229
Acesso a Credenciais
Tática MITRE ATT&CK (TA0006) que reúne técnicas usadas para roubar nomes de conta, palavras-passe, tokens e outros segredos.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.
- attacks№ 447
Golden Ticket
TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.
- attacks№ 1045
Silver Ticket
Ticket de servico Kerberos (TGS) forjado com o hash de uma conta de servico alvo, concedendo acesso silencioso apenas a esse servico.
- attacks№ 583
Kerberoasting
Ataque offline de palavras-passe que solicita tickets de servico Kerberos para contas de servico e quebra a parte cifrada para recuperar as palavras-passe em claro.
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
● Veja também
- № 791Pass-the-Ticket
- № 616Living off the Land
- № 632LOLBin / LOLBAS
- № 332Injecao de DLL
- № 862Injecao de processos
- № 045Bypass de AMSI
- № 1002SeDebugPrivilege
- № 1162Impersonacao de Token