Mimikatz

Mimikatz é um programa malware de código aberto usado por hackers e testadores de penetração para reunir credenciais em computadores Windows. Codificado por Benjamin Deply em 2007, mimikatz foi originalmente criado para ser uma prova de conceito para aprender sobre as vulnerabilidades do protocolo de autenticação da Microsoft. No entanto, mimikatz se tornou desde então uma ferramenta de hacking popularmente baixada.

Para funcionar completamente, mimikatz requer o administrador ou controles completos do sistema. Um ataque mimikatz usa várias técnicas para encontrar informações sensíveis como senhas em texto simples, hash, códigos de pinos e tickets a partir da memória de um sistema. As credenciais coletadas podem então ser usadas para acessar informações não autorizadas ou realizar ataques de movimentos laterais.

Embora mimikatz seja geralmente usado como uma ferramenta subterrânea e prejudicial, e a propagação de vírus malware é ilegal na maioria dos países, alguns profissionais ainda podem anunciar isso como uma habilidade que eles realizam dentro da indústria de hacking comercial. É aqui que as empresas contratam hackers de chapéu branco para ajudá-los a procurar pontos fracos em seus próprios sistemas de segurança.  

Há sempre novas maneiras de hackear um computador usando mimikatz, portanto as defesas contra ele precisam ser adaptáveis e atualizadas para se manterem eficazes. Um ataque com mimikatz é difícil de detectar, mas é possível verificar se uma máquina ou conta está comprometida. É mais fácil executar um ataque mimikatz em um sistema com amplo acesso, porque ele armazena várias credenciais sob um ponto de acesso. Por exemplo, um usuário que executa o Windows com um sistema de single sign-on (SSO).

Tipos comuns de ataques mimikatz

  • Roubo de senha de texto claro: As senhas são armazenadas em máquinas em um estado previsível e não criptografado, permitindo que sejam pesquisadas em um banco de dados.
  • Ataque de passar o hash: Um ataque que envolve a reutilização de credenciais que estão armazenadas em um sistema sem realmente descobrir o que são, mas persistindo-as em uma conta ou parte de um sistema que o atacante normalmente não seria capaz de acessar.
  • Golden ticket attack: Um ataque de ticket dourado envolve a criação de uma falsa autenticação dentro do Kerberos, um protocolo de autenticação que verifica os usuários e servidores antes que as informações sejam trocadas. A falsa credencial, ou bilhete dourado, dá aos atacantes acesso para completar qualquer número de alterações não autorizadas nas contas e grupos do sistema