Apa itu Mimikatz: Panduan Pemula

Benjamin Delpy awalnya membuat Mimikatz sebagai bukti konsep untuk menunjukkan kerentanan Microsoft terhadap serangan pada protokol otentikasi mereka. Sebaliknya, ia secara tidak sengaja membuat salah satu alat peretasan yang paling banyak digunakan dan diunduh selama 20 tahun terakhir.



Jake Williams dari Rendition Infosec berkata, "Mimikatz telah berbuat lebih banyak untuk meningkatkan keamanan daripada alat lain yang saya tahu . " Jika mengamankan jaringan Windows adalah pekerjaan Anda, penting untuk selalu mengikuti pembaruan Mimikatz terbaru untuk memahami teknik yang akan digunakan peretas untuk menyusup ke jaringan Anda dan tetap selangkah lebih maju.

Apa itu Mimikatz?

Mimikatz adalah aplikasi sumber terbuka yang memungkinkan pengguna untuk melihat dan menyimpan kredensial otentikasi seperti tiket Kerberos . Benjamin Delpy terus memimpin pengembangan Mimikatz, sehingga toolkit bekerja dengan versi Windows saat ini dan menyertakan serangan paling canggih.



Penyerang biasanya menggunakan Mimikatz untuk mencuri kredensial dan meningkatkan hak istimewa: dalam banyak kasus, perangkat lunak perlindungan titik akhir dan sistem antivirus mendeteksi dan menghapusnya. Sebaliknya, penguji penetrasi menggunakan Mimikatz untuk menemukan dan menguji kerentanan di jaringan Anda sehingga Anda dapat memperbaikinya.

Fitur Mimikatz

Mimikatz awalnya mendemonstrasikan cara mengeksploitasi satu kerentanan dalam sistem otentikasi Windows. Sekarang alat ini mencakup beberapa jenis kerentanan. Mimikatz dapat melakukan metode pengumpulan kredensial berikut:

• Pass-the-Hash : Sebelumnya, Windows menyimpan kredensial otentikasi dalam hash NTLM . Penyerang menggunakan Mimikatz untuk meneruskan string hash yang tepat ke komputer target untuk login. Penyerang bahkan tidak perlu memecahkan kata sandi, mereka hanya perlu mencegat hash dan menggunakannya tanpa pemrosesan apa pun. Ini sama dengan menemukan kunci semua pintu rumah di lantai. Anda membutuhkan satu kunci untuk membuka pintu apa pun.
• Pass-the-Ticket ( ): Windows , (Ticket). Mimikatz Kerberos . , .
• Over-Pass the Hash (Pass the Key): pass-the-hash, , .
• Kerberos Golden Ticket): (pass-the-ticket), KRBTGT. .« » .
• Kerberos Silver Ticket: pass-the-ticket, « » Windows, . Kerberos (TGS), . Microsoft (TGS) , .
• Pass-the-Cache): , Windows! , Mac/UNIX/Linux.

Mimikatz

Anda dapat mengunduh Mimikatz dari Benjamin Delpy's GitHub. Ini menawarkan beberapa opsi unduhan, dari yang dapat dieksekusi hingga kode sumber , yang perlu Anda kompilasi dengan Visual Studio 2010 atau yang lebih baru.

Cara menggunakan Mimikatz

Setelah menjalankan Mimikatz yang dapat dieksekusi, konsol interaktif Mimikatz akan muncul, di mana Anda dapat menjalankan perintah secara real time.



Jalankan Mimikatz sebagai Administrator: Agar Mimikatz berfungsi dengan benar, pilih Jalankan sebagai Administrator, meskipun Anda menggunakan akun administrator.



Memeriksa versi Mimikatz

Ada 2 versi Mimikatz: 32-bit dan 64-bit. Pastikan Anda menggunakan versi yang benar untuk bit Windows Anda. Jalankan perintah versi dari baris perintah Mimikatz untuk mendapatkan informasi tentang Mimikatz yang dapat dijalankan, versi Windows, dan jika ada pengaturan Windows yang mungkin mencegah Mimikatz bekerja dengan benar.



Mengambil

sandi teks yang jelas dari memori Modul sekurlsa di Mimikatz memungkinkan Anda mengambil sandi dari memori. Untuk menggunakan perintah dalam modul sekurlsa, Anda harus memiliki hak administrator atau tingkat sistem.



Pertama jalankan perintah:

mimikatz # privilege::debug 

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Anda akan melihat apakah Anda memiliki izin yang sesuai untuk melanjutkan.

Kemudian mulai fungsi logging, di masa mendatang Anda mungkin memerlukan log ini dalam pekerjaan Anda:

mimikatz # log nameoflog.log

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Terakhir, keluarkan semua kata sandi yang disimpan di komputer ini dalam teks biasa:

mimikatz # sekurlsa::logonpasswords

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Menggunakan modul Mimikatz lainnya

Modul enkripsi mengekspos CryptoAPI di Windows, yang memungkinkan Anda menghitung dan mengekspor sertifikat dan kunci pribadinya, bahkan jika mereka ditandai sebagai tidak dapat diekspor.



Modul Kerberos mengakses API Kerberos, sehingga Anda dapat bereksperimen dengan fungsi ini dengan mengambil dan mengelola tiket Kerberos .



Modul layanan memungkinkan Anda untuk memulai, menghentikan, menonaktifkan, dan melakukan operasi lain pada layanan Windows.



Dan terakhir, perintah kopi mengeluarkan citra ASCII kopi, karena setiap orang membutuhkan kopi.



Mimikatz mampu melakukan lebih banyak lagi Jika Anda tertarik dengan pengujian penetrasi atau hanya ingin menggali bagian dalam Otentikasi Windows, lihat tautan di bawah ini.

• Panduan Pengujian Penetrasi untuk Lingkungan Direktori Aktif
• Manual Mimikatz dan Referensi Perintah Tidak Resmi
• Koadic: Malware LOL dan server perintah dan kontrol Python
• Ensiklopedia Resmi Mimikatz

Ingin melihat Mimikatz beraksi dan mencari tahu bagaimana Varonis melindungi Anda dari penyusup? Bergabunglah dengan lokakarya serangan siber interaktif gratis kami dan lihat bagaimana teknisi Varonis melakukan serangan siber di lab keamanan kami.