一、Mimikatz簡(jiǎn)介
Mimikatz 是由法國(guó)安全研究員 Benjamin Delpy 開發(fā)的一款強(qiáng)大的 Windows 認(rèn)證信息提取工具����。它可以從 Windows 設(shè)備的內(nèi)存中提取明文密碼、哈希值�����、PIN 碼和 Kerberos 票據(jù),廣泛用于滲透測(cè)試和網(wǎng)絡(luò)安全研究��。自 2007 年發(fā)布以來,Mimikatz 逐漸成為網(wǎng)絡(luò)攻擊和防御領(lǐng)域的重要工具之一�,被紅隊(duì)�����、安全研究員以及攻擊者頻繁使用���。
二���、Mimikatz 的核心功能
Mimikatz 之所以被廣泛應(yīng)用,是因?yàn)樗邆涠鄠€(gè)強(qiáng)大的功能��,主要包括以下幾類:
1. 讀取明文密碼
Mimikatz 通過 sekurlsa::logonpasswords 命令����,能夠從 Windows 內(nèi)存中提取當(dāng)前登錄用戶的明文密碼。這是 Mimikatz 最具代表性的功能之一�,在 Windows 7 及更早版本的系統(tǒng)上可以直接獲取明文密碼��,而在 Windows 8 及以上版本中,微軟增加了保護(hù)機(jī)制�����,需要管理員權(quán)限或 SYSTEM 級(jí)別權(quán)限來提取數(shù)據(jù)。
2. 讀取 NTLM 哈希(lsadump::sam)
NTLM 哈希值是 Windows 用于存儲(chǔ)用戶密碼的一種加密格式�����。Mimikatz 可以從 SAM(Security Account Manager)數(shù)據(jù)庫(kù)中提取這些哈希值�,之后攻擊者可以利用 Hashcat 等工具進(jìn)行離線破解�,或者直接利用 Pass-the-Hash(PTH)技術(shù)進(jìn)行身份冒充。
3. Pass-the-Hash(pth)
Pass-the-Hash(PTH)是一種利用 NTLM 哈希進(jìn)行身份認(rèn)證的技術(shù),無需明文密碼即可訪問受保護(hù)的系統(tǒng)�。Mimikatz 通過 sekurlsa::pth 命令��,允許攻擊者使用竊取的哈希值直接登錄目標(biāo)系統(tǒng)�,從而繞過密碼輸入步驟,獲得權(quán)限訪問���。
4. Pass-the-Ticket(Kerberos 票據(jù)傳遞攻擊)
Kerberos 認(rèn)證系統(tǒng)使用票據(jù)(Ticket)進(jìn)行身份驗(yàn)證�,Mimikatz 允許攻擊者導(dǎo)出���、導(dǎo)入或偽造 Kerberos 票據(jù)��,實(shí)現(xiàn)“Pass-the-Ticket”攻擊���。攻擊者可以利用 kerberos::list 命令列出當(dāng)前會(huì)話的 Kerberos 票據(jù),并使用 kerberos::ptt 命令加載票據(jù)�,冒充合法用戶訪問系統(tǒng)資源�。
5. Golden Ticket(黃金票據(jù)攻擊)
Golden Ticket 是 Mimikatz 最具威脅性的功能之一。它允許攻擊者偽造 Kerberos 票據(jù)授予票據(jù)(TGT)��,以域管理員身份訪問整個(gè)域����。攻擊者只需要獲取域控(Domain Controller)上的 KRBTGT 賬戶哈希值�,就能生成長(zhǎng)期有效的票據(jù),幾乎無法被檢測(cè)到���。
6. Silver Ticket(白銀票據(jù)攻擊)
Silver Ticket 與 Golden Ticket 類似���,但它針對(duì)的是特定的服務(wù)����,而不是整個(gè)域�����。攻擊者可以偽造 Kerberos 服務(wù)票據(jù)(TGS)���,直接訪問目標(biāo)服務(wù)(如 SQL 服務(wù)器���、文件共享等)����,減少被檢測(cè)的可能性��。
7. Dump LSASS 進(jìn)程(lsass.exe)
Mimikatz 可以通過 sekurlsa::minidump 命令轉(zhuǎn)儲(chǔ) Windows 認(rèn)證進(jìn)程(lsass.exe)����,然后在離線環(huán)境中分析并提取憑據(jù)信息。這種方法通常用于規(guī)避實(shí)時(shí)檢測(cè)��。
三、Mimikatz 的使用方法
要使用 Mimikatz,需要先獲得管理員權(quán)限����,并在具有 Debug 權(quán)限的情況下運(yùn)行它�����。具體的使用步驟如下:
1.下載Mimikatz
登錄Github
https://github.com/ParrotSec/mimikatz
Mimikatz在殺軟眼中就是病毒木馬����,在做實(shí)驗(yàn)過程中要關(guān)閉殺軟或添加排除項(xiàng)�。在實(shí)際攻擊過程中����,需要做免殺。
2.解壓mimikatz-master.zip
3.以管理員身份運(yùn)行mimikatz.exe
4.獲取NTML哈希
從內(nèi)存中讀取輸入privilege::debug輸入sekurlsa::logonpasswords
解密NTLM,可以看出密碼一定要設(shè)置足夠復(fù)雜,或定期更改密碼����,防止被破解。
也可以從SAM數(shù)據(jù)庫(kù)中讀取輸入privilege::debug輸入token::elevate輸入lsadump::sam
5.其它命令
Pass-the-Hash 攻擊sekurlsa::pth /user:Administrator /domain:target.local /ntlm:<NTLM HASH>獲取 Kerberos 票據(jù)kerberos::list使用黃金票據(jù)kerberos::golden /user:Administrator /domain:target.local /sid:S-1-5-21-xxxx /krbtgt:<KRBTGT HASH>
四、Mimikatz 的防御措施
由于 Mimikatz 主要利用 Windows 認(rèn)證機(jī)制中的漏洞�,因此針對(duì) Mimikatz 的防御措施通常集中在加強(qiáng)系統(tǒng)安全配置和監(jiān)測(cè)攻擊行為上���。
1. 啟用 LSA 保護(hù)(Credential Guard)
Windows 10 和 Windows Server 2016 及以上版本支持 Credential Guard�,可使用虛擬化技術(shù)保護(hù) LSA 進(jìn)程,防止 Mimikatz 讀取憑據(jù)��。啟用方式:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1
2. 限制高權(quán)限訪問
●限制本地管理員權(quán)限,防止攻擊者輕易提升權(quán)限運(yùn)行 Mimikatz。
●禁用 NTLM 認(rèn)證�����,強(qiáng)制使用 Kerberos 認(rèn)證。
3. 監(jiān)控 LSASS 進(jìn)程
可以使用 Windows 事件日志(Event ID 4624, 4672, 4688)監(jiān)控異常登錄行為��,并結(jié)合 SIEM 進(jìn)行分析��。
4. 定期更改 KRBTGT 賬戶密碼
針對(duì) Golden Ticket 攻擊���,企業(yè)應(yīng)定期更改 KRBTGT 賬戶密碼���,防止長(zhǎng)期濫用���。
5. 使用 EDR/XDR 進(jìn)行檢測(cè)
可以檢測(cè) Mimikatz 的行為模式�,及時(shí)發(fā)現(xiàn)異常����。
五�����、總結(jié)
Mimikatz 是一款強(qiáng)大的密碼提取工具,在網(wǎng)絡(luò)安全攻防中占據(jù)重要地位��。它不僅幫助紅隊(duì)和滲透測(cè)試人員評(píng)估 Windows 系統(tǒng)的安全性�����,也被攻擊者廣泛利用。因此���,安全管理員需要深入了解 Mimikatz 的工作原理����,并采取適當(dāng)?shù)姆烙胧?,防止憑據(jù)泄露和身份冒用����。
在當(dāng)前的網(wǎng)絡(luò)環(huán)境下����,企業(yè)應(yīng)結(jié)合多層安全防護(hù)策略�,如啟用 LSA 保護(hù)、監(jiān)測(cè) LSASS 進(jìn)程活動(dòng)��、限制高權(quán)限賬戶使用、使用 EDR/XDR 進(jìn)行實(shí)時(shí)防御���,才能有效降低 Mimikatz 帶來的風(fēng)險(xiǎn)�。
閱讀原文:原文鏈接
該文章在 2025/3/24 16:51:04 編輯過
400 186 1886
