Mimikatz
Mimikatz 是什么?
Mimikatz开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
Mimikatz 是由 Benjamin Delpy(gentilkiwi)开发的凭据获取工具,用于揭示 Windows 身份验证的根本弱点,尤其是在 LSASS 内存以及 SSPI 提供程序(WDigest、Tspkg、Kerberos、MSV)中。它能转储凭据、伪造 Kerberos 黄金票据与白银票据、执行 pass-the-hash 与 pass-the-ticket,并操控证书。虽然最初是研究项目,但已成为红队工具箱的核心,获得初始域内访问后也常被勒索软件团伙滥用。现代 Windows 防护(Credential Guard、LSA 保护、EDR、Restricted Admin、分级管理)能显著降低其威力,但它仍是检测工程的重要基准。
● 示例
- 01
执行 sekurlsa::logonpasswords 从 LSASS 内存镜像中转储凭据。
- 02
在攻陷 krbtgt 账户后,使用 kerberos::golden 伪造黄金票据。
● 常见问题
Mimikatz 是什么?
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。 它属于网络安全的 防御与运营 分类。
Mimikatz 是什么意思?
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
Mimikatz 是如何工作的?
Mimikatz 是由 Benjamin Delpy(gentilkiwi)开发的凭据获取工具,用于揭示 Windows 身份验证的根本弱点,尤其是在 LSASS 内存以及 SSPI 提供程序(WDigest、Tspkg、Kerberos、MSV)中。它能转储凭据、伪造 Kerberos 黄金票据与白银票据、执行 pass-the-hash 与 pass-the-ticket,并操控证书。虽然最初是研究项目,但已成为红队工具箱的核心,获得初始域内访问后也常被勒索软件团伙滥用。现代 Windows 防护(Credential Guard、LSA 保护、EDR、Restricted Admin、分级管理)能显著降低其威力,但它仍是检测工程的重要基准。
如何防御 Mimikatz?
针对 Mimikatz 的防御通常结合技术控制与运营实践,详见上方完整定义。
Mimikatz 还有哪些其他名称?
常见的别称包括: mimi, kekeo, Invoke-Mimikatz。
● 相关术语
- defense-ops№ 229
凭据访问
MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
- attacks№ 790
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。
- attacks№ 447
黄金票据
使用 krbtgt 账户哈希签名伪造的 Kerberos TGT,使攻击者可在整个域中冒充任意主体。
- attacks№ 1045
白银票据
使用目标服务账户哈希伪造的 Kerberos 服务票据(TGS),可隐蔽地访问该特定服务。
- attacks№ 583
Kerberoasting
一种针对服务账户的离线口令破解攻击:申请 Kerberos 服务票据并对其加密部分进行离线破解,以还原明文密码。
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
● 参见
- № 791票据传递攻击
- № 616就地取材攻击
- № 632LOLBin / LOLBAS
- № 332DLL 注入
- № 862进程注入
- № 045AMSI 绕过
- № 1002SeDebugPrivilege
- № 1162令牌冒用(Token Impersonation)