Mimikatz
Что такое Mimikatz?
MimikatzОткрытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
Mimikatz — это инструмент доступа к учётным данным, созданный Benjamin Delpy (gentilkiwi), чтобы продемонстрировать фундаментальные слабости аутентификации Windows, прежде всего в памяти LSASS и SSPI-провайдерах (WDigest, Tspkg, Kerberos, MSV). Он умеет дампить учётные данные, подделывать Kerberos Golden и Silver Ticket, выполнять pass-the-hash и pass-the-ticket, манипулировать сертификатами. Исходно — исследовательский проект, ныне он стал стандартом для red team и активно используется операторами вымогательского ПО после получения доступа к домену. Современные средства защиты Windows (Credential Guard, LSA Protection, EDR, restricted admin, многоуровневая администрация) заметно снижают его влияние, но он остаётся ключевым эталоном для разработки правил детектирования.
● Примеры
- 01
Запуск sekurlsa::logonpasswords для выгрузки учётных данных из дампа LSASS.
- 02
Подделка Golden Ticket через kerberos::golden после компрометации учётной записи krbtgt.
● Частые вопросы
Что такое Mimikatz?
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS. Относится к категории Защита и операции в кибербезопасности.
Что означает Mimikatz?
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
Как защититься от Mimikatz?
Защита от Mimikatz обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Mimikatz?
Распространённые альтернативные названия: mimi, kekeo, Invoke-Mimikatz.