9.5 Mimikatz
Nástroj Mimikatz, dostupný formou repozitáře na GitHubu, je jedním z nejdůležitějších nástrojů v post-exploitační fázi, a to především pro Windows prostředí a sítě založené na službě Active Directory.
K čemu se Mimikatz využívá?
Jeho primárním účelem je extrakce plaintext hesel (tzv. clear-text), hashů hesel, PIN kódů a Kerberos tiketů přímo z operační paměti nebo disku systému. Dále pomáhá v provádění útoků typu Pass-the-Hash (PTH), Pass-the-Ticket (PTT), sestrojování Golden / Silver ticketů, nebo zneužívání zranitelností typu ZeroLogon.
Klíčové moduly Mimikatzu
Modul lsadump
Tento modul funguje na principu inspekce (prozkoumání) registrových databází zvaných SAM a SYSTEM (registry hives). K provedení tohoto dumpu je obvykle nutný účet s právy
NT AUTHORITY\SYSTEM. Modul extrahuje hashe lokálních uživatelů uloženy na daném počítači.Modul sekurlsa
Modul sekurlsa je schopen vyčíst paměť procesu
lsass.exe (Local Security Authority Subsystem Service), ze které může vytěžit plaintextová hesla právě přihlášených uživatelů, a to díky způsobu, jakým Windows uchovává credentialy v paměti pro fungování Single Sign-On procesů (např. WDigest). K úspěšnému použití sekurlsa potřebujete administrátorský účet a povolené privilegium SeDebugPrivilege, nebo rovnou práva NT AUTHORITY\SYSTEM.Využití v praxi
Při napadení domény dokáže útočník, pokud získá na jednom serveru oprávnění lokálního správce a spustí Mimikatz modul
sekurlsa, získat heslo k účtu Domain Admina, pokud se onen administrátor před nedávnem na zkompromitovaný stroj přes RDP nebo jinou službu přihlásil a jeho záznam ještě zůstal v paměti lsass.exe.