о Mimikatz: функции, возможности и применение

Mimikatz — это известный инструмент в области информационной безопасности, который позволяет извлекать учетные данные и проводить анализ безопасности систем на базе Windows.

Что такое Mimikatz?

Mimikatz был создан Франсуа Лауренсом (также известным как "gentilkiwi") и впервые представлен в 2011 году. Mimikatz синтаксически компилируется на C и предназначен для работы с учётными данными Windows. Он был разработан для демонстрации недостатков в безопасности аутентификации Windows и для помощи администраторам в тестировании системной защиты. Mimikatz может использоваться для извлечения паролей, создания токенов для доступа к ресурсам, а также для проведения атак типа "Pass-the-Hash" и "Pass-the-Ticket".

Основные функции Mimikatz

Извлечение паролей:

Mimikatz может извлекать пароли, хранящиеся в памяти, благодаря доступу к компонентам LSA (Local Security Authority). Он также может извлекать хэши паролей из SAM (Security Account Manager).

Работа с Kerberos:

Получение TGT (Ticket Granting Ticket) с помощью команды kerberos::list
Создание и использование внешних билетов Kerberos для обхода аутентификации.

Атаки Pass-the-Hash:

Mimikatz позволяет использовать хэши паролей для аутентификации без знания самого пароля через функцию sekurlsa::pth

Расшифровка паролей Smart Card:

Этот инструмент может расшифровывать пароли, хранящиеся на смарт-картах.

Дополнительные функции:

Экспорт токенов сессии, взаимодействие с системными процессами, управление пользовательскими учетными записями.

2. Установка Mimikatz

Скачивание:

Mimikatz можно скачать с официального репозитория Github. Обычно скачиваются бинарные файлы.

Запуск:

Необходимо запустить командную строку с правами администратора и запустить
mimikatz.exe.

3. Основные возможности Mimikatz

• Извлечение паролей: Получение паролей и хэшей из памяти системы.
• Pass-the-Hash: Использование хэшей паролей для аутентификации без знания паролей.
• Pass-the-Ticket: Использование билетов Kerberos для обхода аутентификации.
• Работа с токенами: Взаимодействие с токенами безопасности и создание новых сеансов.

4. Функции Mimikatz

При каждом примере важно помнить о легальности тестирования: практиковать Mimikatz следует только на системах, на которые у вас есть разрешение, или в учебных целях в контролируемой среде.

4.1. Извлечение паролей
Одна из основных функций Mimikatz — это извлечение паролей из памяти.

Пример команды: sekurlsa::logonpasswords
• Эта команда выведет список всех пользователей, которые вошли в систему, вместе с их паролями (если они находятся в памяти) и хэшами.

4.2. Работа с Kerberos

Mimikatz может использоваться для получения фигурную23 TGT (Ticket Granting Ticket) и TGS (Ticket Granting Service).

Пример получения всех билетов: kerberos::list
• Эта команда покажет все активные Kerberos-билеты, которые могут быть использованы для доступа к ресурсам, защищенным Kerberos.

Получение нового TGT: kerberos::ptt

• Используется для использования билета, который был сохранен ранее. Это может быть полезно для злоумышленника, чтобы обойти аутентификацию.

4.3. Атака Pass-the-Hash

Атака Pass-the-Hash позволяет злоумышленникам аутентифицироваться на удаленной машине, используя хэш пароля вместо самого пароля.

Пример команды: sekurlsa::pth /user: /domain: /ntlm:
• Таким образом, в систему можно войти под учетной записью, используя только хэш.

4.4. Извлечение хэшей паролей из SAM

Вы можете извлекать хэши паролей из SAM (Security Account Manager) для дальнейшего анализа или атаки.

Пример команды: lsadump::sam
• Эта команда извлекает учетные данные из SAM, что позволяет понять, какие пользователи существуют в системе и какие у них хэши паролей.

4.5. Извлечение и использование токенов

Mimikatz позволяет извлекать и использовать токены для получения доступа к ресурсам.

Пример: token::list
• Эта команда выводит список активных токенов на системе. Вы можете использовать их для аутентификации под различными учетными записями.

5. Примеры практического применения

5.1. Тестирование на проникновение

Тестировщики на проникновение часто используют Mimikatz для проверки защищенности систем. Попробуйте следующие действия:

1. Сбор информации о пользователях и паролях.
2. Запуск атаки "Pass-the-Hash" для подтверждения, что система подвержена уязвимостям.
3. Проверка наличия учетных данных, оставшихся в памяти.

5.2. Обход ограничений систем

Предположим, что у вас есть система с временно заблокированным администратором. Если вы проведете атаку Pass-the-Hash, как показано выше, вы сможете обойти систему и получить необходимые разрешения, что потенциально может помочь вам восстановить контроль над системой.

5.3. Обнаружение и предотвращение угроз

Администраторы могут использовать Mimikatz для раннего обнаружения утечек паролей или других аномалий в поведении системы.

1. Запустите Mimikatz на целевых системах, чтобы увидеть, кто может получить доступ к критически важным данным.
2. Проверьте логин-пароли и хэши на наличие несанкционированного доступа.

Заключение

Mimikatz является мощным инструментом в арсенале специалистов по кибербезопасности, дающим возможность тестирования систем на уязвимости, исследование и аудирование. Он показывает, как легко можно извлечь пароли и учетные данные, если система не защищена должным образом. Однако использование Mimikatz должно строго регулироваться этическими нормами, и его использовать следует только в установленных границах закона и в рамках санкционированного тестирования на проникновение.