- 54
- 4
- 9 Янв 2021
Mimikatz-это инструмент с открытым исходным кодом, первоначально разработанный этическим хакером Бенджамином Делпи, чтобы продемонстрировать недостаток в протоколах аутентификации Microsoft. Проще говоря, инструмент крадет пароли. Он развертывается на конечной точке Windows и позволяет пользователям извлекать билеты Kerberos и другие маркеры проверки подлинности из компьютера.
Mimikatz имеет множество модулей, которые позволяют злоумышленникам выполнять различные задачи на целевой конечной точке. Некоторые из наиболее важных атак, облегченных платформой являются:
▫Pass-the —Hash-получает NTLM-хэш, используемый Windows для доставки паролей. Это позволяет злоумышленникам повторно использовать пароль, не взламывая хэш.
▫Pass —The-Ticket-Mimikatz широко использовался для взлома протокола Kerberos. Он может получить “билет " Kerberos для учетной записи пользователя и использовать его для входа в систему в качестве этого пользователя на другом компьютере.
▫Kerberos Golden Ticket—получает билет для скрытой корневой учетной записи (KRBTGT), которая шифрует все билеты аутентификации, предоставляя доступ администратора домена для любого компьютера в сети.
▫Kerberos Silver Ticket-использует функциональность Windows, которая предоставляет пользователю билет для доступа к нескольким службам в сети (через сервер предоставления билетов или TGS). Протокол Kerberos может не проверять ключ TGS, позволяя злоумышленникам повторно использовать ключ и выдавать себя за пользователя в сети.
▫Передать ключ—получает уникальный ключ, используемый Пользователем для аутентификации на контроллере домена. Злоумышленник может повторно использовать этот ключ, чтобы выдать себя за пользователя.
Как работает Mimikatz?
Оригинальная версия Mimikatz использовала функцию Windows под названием WDigest это позволяет осуществлять единый вход (SSO) для большого числа корпоративных пользователей. WDigest загружает зашифрованные пароли в память вместе с их ключом расшифровки, что позволяет злоумышленникам выполнить дамп памяти и расшифровать пароли.
Создатель Mimikatz Delpy связался с Microsoft, чтобы исправить уязвимость, но был проигнорирован и был мотивирован на создание своего инструмента. Microsoft в конечном итоге разрешила пользователям отключить WDigest, начиная с Windows 8,1, а в Windows 10 отключил его по умолчанию. Но эта функция все еще существует и может быть включена злоумышленником, который получает административные привилегии. Это означает, что Mimikatz по-прежнему очень эффективен и может быть использован для атаки на конечные точки Windows 10.
Mimikatz имеет множество модулей, которые позволяют злоумышленникам выполнять различные задачи на целевой конечной точке. Некоторые из наиболее важных атак, облегченных платформой являются:
▫Pass-the —Hash-получает NTLM-хэш, используемый Windows для доставки паролей. Это позволяет злоумышленникам повторно использовать пароль, не взламывая хэш.
▫Pass —The-Ticket-Mimikatz широко использовался для взлома протокола Kerberos. Он может получить “билет " Kerberos для учетной записи пользователя и использовать его для входа в систему в качестве этого пользователя на другом компьютере.
▫Kerberos Golden Ticket—получает билет для скрытой корневой учетной записи (KRBTGT), которая шифрует все билеты аутентификации, предоставляя доступ администратора домена для любого компьютера в сети.
▫Kerberos Silver Ticket-использует функциональность Windows, которая предоставляет пользователю билет для доступа к нескольким службам в сети (через сервер предоставления билетов или TGS). Протокол Kerberos может не проверять ключ TGS, позволяя злоумышленникам повторно использовать ключ и выдавать себя за пользователя в сети.
▫Передать ключ—получает уникальный ключ, используемый Пользователем для аутентификации на контроллере домена. Злоумышленник может повторно использовать этот ключ, чтобы выдать себя за пользователя.
Как работает Mimikatz?
Оригинальная версия Mimikatz использовала функцию Windows под названием WDigest это позволяет осуществлять единый вход (SSO) для большого числа корпоративных пользователей. WDigest загружает зашифрованные пароли в память вместе с их ключом расшифровки, что позволяет злоумышленникам выполнить дамп памяти и расшифровать пароли.
Создатель Mimikatz Delpy связался с Microsoft, чтобы исправить уязвимость, но был проигнорирован и был мотивирован на создание своего инструмента. Microsoft в конечном итоге разрешила пользователям отключить WDigest, начиная с Windows 8,1, а в Windows 10 отключил его по умолчанию. Но эта функция все еще существует и может быть включена злоумышленником, который получает административные привилегии. Это означает, что Mimikatz по-прежнему очень эффективен и может быть использован для атаки на конечные точки Windows 10.