一�、Mimikatz簡介
Mimikatz 是由法國安全研究員 Benjamin Delpy 開發(fā)的一款強(qiáng)大的 Windows 認(rèn)證信息提取工具。它可以從 Windows 設(shè)備的內(nèi)存中提取明文密碼�、哈希值、PIN 碼和 Kerberos 票據(jù)�����,廣泛用于滲透測試和網(wǎng)絡(luò)安全研究�����。自 2007 年發(fā)布以來,Mimikatz 逐漸成為網(wǎng)絡(luò)攻擊和防御領(lǐng)域的重要工具之一���,被紅隊����、安全研究員以及攻擊者頻繁使用�。
二、Mimikatz 的核心功能
Mimikatz 之所以被廣泛應(yīng)用�����,是因為它具備多個強(qiáng)大的功能�,主要包括以下幾類:
1. 讀取明文密碼
Mimikatz 通過 sekurlsa::logonpasswords 命令,能夠從 Windows 內(nèi)存中提取當(dāng)前登錄用戶的明文密碼�����。這是 Mimikatz 最具代表性的功能之一�,在 Windows 7 及更早版本的系統(tǒng)上可以直接獲取明文密碼,而在 Windows 8 及以上版本中����,微軟增加了保護(hù)機(jī)制�,需要管理員權(quán)限或 SYSTEM 級別權(quán)限來提取數(shù)據(jù)��。
2. 讀取 NTLM 哈希(lsadump::sam)
NTLM 哈希值是 Windows 用于存儲用戶密碼的一種加密格式����。Mimikatz 可以從 SAM(Security Account Manager)數(shù)據(jù)庫中提取這些哈希值,之后攻擊者可以利用 Hashcat 等工具進(jìn)行離線破解��,或者直接利用 Pass-the-Hash(PTH)技術(shù)進(jìn)行身份冒充����。
3. Pass-the-Hash(pth)
Pass-the-Hash(PTH)是一種利用 NTLM 哈希進(jìn)行身份認(rèn)證的技術(shù),無需明文密碼即可訪問受保護(hù)的系統(tǒng)����。Mimikatz 通過 sekurlsa::pth 命令,允許攻擊者使用竊取的哈希值直接登錄目標(biāo)系統(tǒng)��,從而繞過密碼輸入步驟���,獲得權(quán)限訪問。
4. Pass-the-Ticket(Kerberos 票據(jù)傳遞攻擊)
Kerberos 認(rèn)證系統(tǒng)使用票據(jù)(Ticket)進(jìn)行身份驗證���,Mimikatz 允許攻擊者導(dǎo)出���、導(dǎo)入或偽造 Kerberos 票據(jù)��,實現(xiàn)“Pass-the-Ticket”攻擊���。攻擊者可以利用 kerberos::list 命令列出當(dāng)前會話的 Kerberos 票據(jù)���,并使用 kerberos::ptt 命令加載票據(jù)��,冒充合法用戶訪問系統(tǒng)資源��。
5. Golden Ticket(黃金票據(jù)攻擊)
Golden Ticket 是 Mimikatz 最具威脅性的功能之一����。它允許攻擊者偽造 Kerberos 票據(jù)授予票據(jù)(TGT),以域管理員身份訪問整個域��。攻擊者只需要獲取域控(Domain Controller)上的 KRBTGT 賬戶哈希值��,就能生成長期有效的票據(jù)�����,幾乎無法被檢測到。
6. Silver Ticket(白銀票據(jù)攻擊)
Silver Ticket 與 Golden Ticket 類似�,但它針對的是特定的服務(wù),而不是整個域�����。攻擊者可以偽造 Kerberos 服務(wù)票據(jù)(TGS)����,直接訪問目標(biāo)服務(wù)(如 SQL 服務(wù)器、文件共享等)��,減少被檢測的可能性����。
7. Dump LSASS 進(jìn)程(lsass.exe)
Mimikatz 可以通過 sekurlsa::minidump 命令轉(zhuǎn)儲 Windows 認(rèn)證進(jìn)程(lsass.exe),然后在離線環(huán)境中分析并提取憑據(jù)信息��。這種方法通常用于規(guī)避實時檢測�����。
三�����、Mimikatz 的使用方法
要使用 Mimikatz�,需要先獲得管理員權(quán)限,并在具有 Debug 權(quán)限的情況下運(yùn)行它�����。具體的使用步驟如下:
1.下載Mimikatz
登錄Github
https://github.com/ParrotSec/mimikatz
Mimikatz在殺軟眼中就是病毒木馬�,在做實驗過程中要關(guān)閉殺軟或添加排除項。在實際攻擊過程中��,需要做免殺�����。
2.解壓mimikatz-master.zip
3.以管理員身份運(yùn)行mimikatz.exe
4.獲取NTML哈希
從內(nèi)存中讀取輸入privilege::debug輸入sekurlsa::logonpasswords
解密NTLM�,可以看出密碼一定要設(shè)置足夠復(fù)雜,或定期更改密碼�,防止被破解。
也可以從SAM數(shù)據(jù)庫中讀取輸入privilege::debug輸入token::elevate輸入lsadump::sam
5.其它命令
Pass-the-Hash 攻擊sekurlsa::pth /user:Administrator /domain:target.local /ntlm:<NTLM HASH>獲取 Kerberos 票據(jù)kerberos::list使用黃金票據(jù)kerberos::golden /user:Administrator /domain:target.local /sid:S-1-5-21-xxxx /krbtgt:<KRBTGT HASH>
四�、Mimikatz 的防御措施
由于 Mimikatz 主要利用 Windows 認(rèn)證機(jī)制中的漏洞,因此針對 Mimikatz 的防御措施通常集中在加強(qiáng)系統(tǒng)安全配置和監(jiān)測攻擊行為上�����。
1. 啟用 LSA 保護(hù)(Credential Guard)
Windows 10 和 Windows Server 2016 及以上版本支持 Credential Guard����,可使用虛擬化技術(shù)保護(hù) LSA 進(jìn)程��,防止 Mimikatz 讀取憑據(jù)���。啟用方式:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1
2. 限制高權(quán)限訪問
●限制本地管理員權(quán)限,防止攻擊者輕易提升權(quán)限運(yùn)行 Mimikatz��。
●禁用 NTLM 認(rèn)證�����,強(qiáng)制使用 Kerberos 認(rèn)證����。
3. 監(jiān)控 LSASS 進(jìn)程
可以使用 Windows 事件日志(Event ID 4624, 4672, 4688)監(jiān)控異常登錄行為,并結(jié)合 SIEM 進(jìn)行分析���。
4. 定期更改 KRBTGT 賬戶密碼
針對 Golden Ticket 攻擊����,企業(yè)應(yīng)定期更改 KRBTGT 賬戶密碼�����,防止長期濫用。
5. 使用 EDR/XDR 進(jìn)行檢測
可以檢測 Mimikatz 的行為模式�����,及時發(fā)現(xiàn)異常�����。
五�、總結(jié)
Mimikatz 是一款強(qiáng)大的密碼提取工具��,在網(wǎng)絡(luò)安全攻防中占據(jù)重要地位����。它不僅幫助紅隊和滲透測試人員評估 Windows 系統(tǒng)的安全性,也被攻擊者廣泛利用�。因此,安全管理員需要深入了解 Mimikatz 的工作原理�,并采取適當(dāng)?shù)姆烙胧乐箲{據(jù)泄露和身份冒用��。
在當(dāng)前的網(wǎng)絡(luò)環(huán)境下��,企業(yè)應(yīng)結(jié)合多層安全防護(hù)策略�����,如啟用 LSA 保護(hù)、監(jiān)測 LSASS 進(jìn)程活動����、限制高權(quán)限賬戶使用、使用 EDR/XDR 進(jìn)行實時防御����,才能有效降低 Mimikatz 帶來的風(fēng)險。
閱讀原文:原文鏈接
該文章在 2025/3/24 16:51:04 編輯過
400 186 1886
