Mimikatz, to program open source do zrzucania poświadczeń, służący do uzyskiwania informacji o loginie i haśle do konta. Pobiera hasła zwykle jako hash lub hasła w postaci czystego tekstu, z systemu operacyjnego lub oprogramowania. Poświadczenia mogą być następnie wykorzystywane do wykonywania kolejnych ataków i uzyskiwania dostępu do zastrzeżonych informacji.

Mimikatz to program Windows x32/x64 do wyodrębniania haseł z pamięci, skrótów, kodów PIN i biletów Kerberos. Jest używany jako narzędzie do ataku na klientów Windows, umożliwiając wydobycie haseł w postaci zwykłego tekstu i skrótów haseł z pamięci. Program został napisany w C przez Benjamina Delpy’ego w 2007 roku. Chciał on się dowiedzieć więcej o poświadczeniach Windows (oraz jako PoC).

Istnieją dwa opcjonalne komponenty, które zapewniają dodatkowe funkcje

  • mimidrv (sterownik do interakcji z jądrem Windows )
  • mimilib (obejście AppLocker, pakiet Auth/SSP, filtr haseł oraz sekurlsa dla WinDBG).

Mimikatz wymaga uprawnień administratora lub SYSTEMU i często debugowania w celu wykonania pewnych działań i interakcji z procesem LSASS (w zależności od żądanej akcji).

W ostatnich latach Mimikatz był wykorzystywany jako składnik dwóch robaków ransomware, które były używane do ataków na całym świecie. Zarówno oprogramowanie ransomware NotPetya, jak i BadRabbit wykorzystywało Mimikatz w połączeniu z nieszczelnymi narzędziami hakerskimi NSA do automatyzacji ataków. Ich działania wysycały pasma sieciowe, z katastrofalnymi skutkami. NotPetya był w stanie sparaliżować tysiące komputerów w firmach takich jak FedEx, Maersk i Merck. Uważa się, że spowodował szkody o wartości ponad miliarda dolarów.

0 0 votes
Ocena artykułu
Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments
0
Zależy mi na Twojej opinii poniżej 😀x