Mimikatz
Что такое Mimikatz?
MimikatzОткрытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
Mimikatz — это инструмент доступа к учётным данным, созданный Benjamin Delpy (gentilkiwi), чтобы продемонстрировать фундаментальные слабости аутентификации Windows, прежде всего в памяти LSASS и SSPI-провайдерах (WDigest, Tspkg, Kerberos, MSV). Он умеет дампить учётные данные, подделывать Kerberos Golden и Silver Ticket, выполнять pass-the-hash и pass-the-ticket, манипулировать сертификатами. Исходно — исследовательский проект, ныне он стал стандартом для red team и активно используется операторами вымогательского ПО после получения доступа к домену. Современные средства защиты Windows (Credential Guard, LSA Protection, EDR, restricted admin, многоуровневая администрация) заметно снижают его влияние, но он остаётся ключевым эталоном для разработки правил детектирования.
● Примеры
- 01
Запуск sekurlsa::logonpasswords для выгрузки учётных данных из дампа LSASS.
- 02
Подделка Golden Ticket через kerberos::golden после компрометации учётной записи krbtgt.
● Частые вопросы
Что такое Mimikatz?
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS. Относится к категории Защита и операции в кибербезопасности.
Что означает Mimikatz?
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
Как работает Mimikatz?
Mimikatz — это инструмент доступа к учётным данным, созданный Benjamin Delpy (gentilkiwi), чтобы продемонстрировать фундаментальные слабости аутентификации Windows, прежде всего в памяти LSASS и SSPI-провайдерах (WDigest, Tspkg, Kerberos, MSV). Он умеет дампить учётные данные, подделывать Kerberos Golden и Silver Ticket, выполнять pass-the-hash и pass-the-ticket, манипулировать сертификатами. Исходно — исследовательский проект, ныне он стал стандартом для red team и активно используется операторами вымогательского ПО после получения доступа к домену. Современные средства защиты Windows (Credential Guard, LSA Protection, EDR, restricted admin, многоуровневая администрация) заметно снижают его влияние, но он остаётся ключевым эталоном для разработки правил детектирования.
Как защититься от Mimikatz?
Защита от Mimikatz обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Mimikatz?
Распространённые альтернативные названия: mimi, kekeo, Invoke-Mimikatz.
● Связанные термины
- defense-ops№ 229
Доступ к учётным данным (Credential Access)
Тактика MITRE ATT&CK (TA0006), охватывающая техники кражи имён учётных записей, паролей, токенов и других секретов.
- attacks№ 790
Pass-the-Hash
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.
- attacks№ 447
Golden Ticket
Поддельный Kerberos TGT, подписанный хешем учётной записи krbtgt и позволяющий атакующему имперсонировать любого субъекта домена.
- attacks№ 1045
Silver Ticket
Поддельный Kerberos-билет службы (TGS), созданный по хешу пароля учётной записи сервиса и дающий скрытый доступ к этому одному сервису.
- attacks№ 583
Kerberoasting
Оффлайн-атака на пароли: запрос Kerberos-билетов служб для сервисных учёток и взлом их зашифрованной части для восстановления паролей в открытом виде.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
● См. также
- № 791Pass-the-Ticket
- № 616Living off the Land
- № 632LOLBin / LOLBAS
- № 332DLL-инъекция
- № 862Инъекция в процесс
- № 045Обход AMSI
- № 1002SeDebugPrivilege
- № 1162Имперсонация токена