Was ist Mimikatz: Eine Einführung

Mimikatz wurde ursprünglich von Benjamin Delpy entwickelt, um Microsoft zu demonstrieren, dass ihre Authentifizierungsprotokolle durch Angreifer zu überwinden waren. Dabei schuf er unbeabsichtigt eines der am häufigsten genutzten und heruntergeladenen...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 27. Juni 2023

Mimikatz wurde ursprünglich von Benjamin Delpy entwickelt, um Microsoft zu demonstrieren, dass ihre Authentifizierungsprotokolle durch Angreifer zu überwinden waren. Dabei schuf er unbeabsichtigt eines der am häufigsten genutzten und heruntergeladenen Hacker-Tools der letzten 20 Jahre.

Jake Williams von Rendition Infosec meinte: „Mimikatz hat mehr für die Weiterentwicklung der Sicherheit getan als jedes andere mir bekannte Tool.“ Wenn Sie für den Schutz von Windows-Netzwerken verantwortlich sind, müssen Sie unbedingt über die neuesten Mimikatz-Updates auf dem Laufenden bleiben, um die Techniken zu kennen, mit denen Hacker in Ihre Netzwerke einzudringen versuchen werden – und ihnen einen Schritt voraus zu bleiben.

Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

Was ist Mimikatz?

Mimikatz ist ein Open-Source-Programm, mit dem Benutzer sich Authentifizierungsdaten wie Kerberos-Tickets anzeigen lassen und diese speichern können. Die Weiterentwicklung von Mimikatz wird weiterhin von Benjamin Delpy geleitet. Deshalb funktioniert das Toolset mit allen aktuellen Windows-Releases und enthält die neuesten Angriffe.

Angreifer benutzen Mimikatz üblicherweise, um Anmeldeinformationen zu stehlen und sich erweiterte Berechtigungen zu verschaffen: In den meisten Fällen wird es von Schutzsoftware auf Endgeräten und Antivirus-Systemen entdeckt und gelöscht. Andererseits nutzen Pentester Mimikatz, um Sicherheitslücken in ihren Netzwerken zu entdecken und auszunutzen, damit sie diese schließen können.

mimikatz definition

Was kann Mimikatz leisten?

Mimikatz hat ursprünglich demonstriert, wie eine einzige Sicherheitslücke im Authentifizierungssystem von Windows ausgenutzt werden konnte. Heutzutage weist das Tool unterschiedliche Arten von Sicherheitslücken nach. Mit Mimikatz lassen sich unterschiedliche Techniken zum Sammeln von Anmeldeinformationen ausführen, z. B.:

  • Pass-the-Hash: Windows speicherte früher Passwortdaten in einem NTLM-Hash. Angreifer benutzen Mimikatz, um genau diesen Hash-String für die Anmeldung an den angegriffenen Computer zu übergeben. Die Angreifer müssen das Passwort nicht einmal cracken, sie können einfach den Hash-String in unveränderter Form benutzen. Das ist in etwa dasselbe, wie den Generalschlüssel eines Gebäudes auf dem Boden zu finden. Sie brauchen nur diesen einen Schlüssel, um alle Türen zu öffnen.
  • Pass-the-Ticket: Neuere Windows-Versionen speichern Passwortdaten in einem als Ticket bezeichneten Konstrukt.  Mimikatz bietet einem Nutzer Funktionen, mit denen er ein Kerberos-Ticket an einen anderen Computer übergeben und sich dort mit dem Ticket dieses Benutzers anmelden kann. In jeder anderen Hinsicht entspricht es der Pass-the-Hash-Technik.
  • Over-Pass the Hash (Pass-the-Key): Eine weitere Spielart von Pass-the-Hash, aber bei dieser Technik wird ein einzigartiger Schlüssel übergeben, um sich als ein Benutzer auszugeben, den Sie von einem Domänen-Controller abrufen können.
  • Kerberos Golden Ticket: Hierbei handelt es sich um einen Pass-the-Ticket-Angriff, allerdings mit einem speziellen Ticket für ein verborgenes Konto namens KRBTGT, mit dessen Hilfe alle anderen Tickets verschlüsselt werden. Mit einem goldenen Ticket erhalten Sie Domain-Admin-Berechtigungen auf allen Computern im Netzwerk, die niemals ablaufen.
  • Kerberos Silver Ticket: Eine andere Pass-the-Ticket-Technik, wobei ein silbernes Ticket eine Funktion in Windows ausnutzt, die es Ihnen erleichtert, Dienste im Netzwerk zu nutzen. Kerberos teilt einem Benutzer ein TGS-Ticket zu, mit dem sich der Benutzer bei allen Diensten im Netzwerk anmelden kann. Microsoft überprüft ein TGS nach der Ausgabe nicht immer, weshalb es leicht durch Sicherheitsvorkehrungen geschmuggelt werden kann.
  • Pass-the-Cache: Endlich ein Angriff, der sich nicht Windows zunutze macht! Ein Pass-the-Cache-Angriff ist im Allgemeinen dasselbe wie Pass-the-Ticket, wobei allerdings die gespeicherten und verschlüsselten Anmeldedaten in einem Mac/UNIX/Linux-System verwendet werden.

what can mimikatz do

Quellen zum Herunterladen von Mimikatz

Sie können Mimikatz von Benjamin Delpys GitHub herunterladen – er bietet mehrere Optionen als Download an, vom ausführbaren Programm bis zum Quellcode. Sie müssen es mit Visual Studio 2010 oder einer späteren Version kompilieren.

Wie Sie Mimikatz einsetzen

Wenn Sie Mimikatz mit dem ausführbaren Programm laufen lassen, wird Ihnen eine Mimikatz-Konsole im interaktiven Modus angezeigt, über die Sie Befehle in Echtzeit ausführen können.

Ausführen von Mimikatz als Administrator: Um den kompletten Funktionsumfang von Mimikatz zu erhalten, wählen Sie „Als Admin ausführen“, selbst wenn Sie ein Admin-Konto nutzen.

Überprüfen der Mimikatz-Version

Es gibt zwei Versionen von Mimikatz: 32 bit und 64 bit. Achten Sie darauf, die für Ihre Windows-Installation passende Version auszuführen. Mit dem Befehl „Version“ lassen Sie Mimikatz die Versionsinformationen der ausführbaren Datei und die Windows-Version abrufen, sowie Angaben darüber, ob die korrekte Ausführung von Mimikatz durch Windows-Einstellungen verhindert wird.

Extrahieren von Passwörtern in Klartext aus dem Speicher

Mit dem Mimikatz-Modul sekursla können Sie einen Dump der Passwörter aus dem Speicher durchführen. Um die Befehle im sekursla-Modul nutzen zu dürfen, benötigen Sie Admin- oder SYSTEM-Berechtigungen.

Führen Sie zunächst diesen Befehl aus:

mimikatz # privilege::debug

An der Ausgabe können Sie erkennen, ob Sie die notwendigen Berechtigungen für das weitere Vorgehen haben.

Starten Sie danach die Protokollfunktionen, um Ihre Arbeit später betrachten zu können.

mimikatz # log nameoflog.log

Und zum Schluss geben Sie alle auf diesem Computer gespeicherten Klartext-Passwörter aus.

mimikatz # sekurlsa::logonpasswords

Verwendung anderer Mimikatz-Module

Mit dem crypto-Modul können Sie auf die Crypto-API in Windows zugreifen, mit der Sie Zertifikate und deren private Schlüssel auflisten und exportieren können, selbst wenn sie als nicht exportierbar gekennzeichnet sind.

Das Kerberos-Modul greift auf die Kerberos-API zu, so dass Sie mit dieser Funktionalität spielen können, indem Sie Kerberos-Tickets zu extrahieren und manipulieren.

Mit dem Dienstmodul können Sie Windows-Dienste starten, anhalten, deaktivieren usw.

Und zu guter Letzt: Nach dem Befehl coffee wird die Ascii-Art eines Kaffees ausgegeben. Weil jeder Kaffee braucht.

Und Mimikatz bietet noch viel mehr. Wenn Sie Penetrationstests durchführen wollen oder einfach nur in den Inneren der Windows-Authentifizierung wühlen möchten, finden Sie hier weiterführende Informationen :

Möchten Sie Mimikatz in Aktion erleben und sich informieren, wie Varonis Sie vor Eindringlingen schützt?  Melden Sie sich für unseren an und begleiten unsere Experten bei der Live-Demonstration eines Cyberangriffs in unserem Sicherheitslabor.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

authentifizierung-in-windows-10:-das-ende-von-pass-the-hash-angriffen?
Authentifizierung in Windows 10: Das Ende von Pass-the-Hash-Angriffen?
Im Laufe des letzten Jahres deutete Microsoft bereits mehrfach an das bisherige Authentifizierungssystem in Windows 10 überarbeiten zu wollen. Für das neue Betriebssystem sollten eine Mehrfaktor-Authentifizierung und FIDO unterstützt werde....
5-wege,-um-active-directory-mit-varonis-zu-schützen
5 Wege, um Active Directory mit Varonis zu schützen
Die schnellste Methode, in ein Netzwerk einzudringen, nutzt das Active Directory (AD) – es ist der Schlüssel zum gesamten Königreich. Wenn Sie auf einen Server zugreifen wollen, müssen Sie im AD...
umgehung-der-zeitabhängigen-einmalkennwort-mfa-von-box
Umgehung der zeitabhängigen Einmalkennwort-MFA von Box
Das Varonis-Forschungsteam hat eine Möglichkeit entdeckt, die Multi-Faktor-Authentifizierung für Box-Konten zu umgehen, die Authentifizierungs-Apps wie den Google Authenticator verwenden.
brute-force:-die-anatomie-eines-angriffs
Brute Force: Die Anatomie eines Angriffs
Die Berichterstattung über NotPetya hat einen Vorfall in den Hintergrund gedrängt, der ein bedeutenderer Angriff hätte werden können: ein Brute Force-Angriff auf das britische Parlament. Für viele Beobachter war er...