Was ist Mimikatz: Eine Einführung

Mimikatz wurde ursprünglich von Benjamin Delpy entwickelt, um Microsoft zu demonstrieren, dass ihre Authentifizierungsprotokolle durch Angreifer zu überwinden waren. Dabei schuf er unbeabsichtigt eines der am häufigsten genutzten und heruntergeladenen Hacker-Tools der letzten 20 Jahre.

Jake Williams von Rendition Infosec meinte: „Mimikatz hat mehr für die Weiterentwicklung der Sicherheit getan als jedes andere mir bekannte Tool.“ Wenn Sie für den Schutz von Windows-Netzwerken verantwortlich sind, müssen Sie unbedingt über die neuesten Mimikatz-Updates auf dem Laufenden bleiben, um die Techniken zu kennen, mit denen Hacker in Ihre Netzwerke einzudringen versuchen werden – und ihnen einen Schritt voraus zu bleiben.

Was ist Mimikatz?

Mimikatz ist ein Open-Source-Programm, mit dem Benutzer sich Authentifizierungsdaten wie Kerberos-Tickets anzeigen lassen und diese speichern können. Die Weiterentwicklung von Mimikatz wird weiterhin von Benjamin Delpy geleitet. Deshalb funktioniert das Toolset mit allen aktuellen Windows-Releases und enthält die neuesten Angriffe.

Angreifer benutzen Mimikatz üblicherweise, um Anmeldeinformationen zu stehlen und sich erweiterte Berechtigungen zu verschaffen: In den meisten Fällen wird es von Schutzsoftware auf Endgeräten und Antivirus-Systemen entdeckt und gelöscht. Andererseits nutzen Pentester Mimikatz, um Sicherheitslücken in ihren Netzwerken zu entdecken und auszunutzen, damit sie diese schließen können.

Was kann Mimikatz leisten?

Mimikatz hat ursprünglich demonstriert, wie eine einzige Sicherheitslücke im Authentifizierungssystem von Windows ausgenutzt werden konnte. Heutzutage weist das Tool unterschiedliche Arten von Sicherheitslücken nach. Mit Mimikatz lassen sich unterschiedliche Techniken zum Sammeln von Anmeldeinformationen ausführen, z. B.:

• Pass-the-Hash: Windows speicherte früher Passwortdaten in einem NTLM-Hash. Angreifer benutzen Mimikatz, um genau diesen Hash-String für die Anmeldung an den angegriffenen Computer zu übergeben. Die Angreifer müssen das Passwort nicht einmal cracken, sie können einfach den Hash-String in unveränderter Form benutzen. Das ist in etwa dasselbe, wie den Generalschlüssel eines Gebäudes auf dem Boden zu finden. Sie brauchen nur diesen einen Schlüssel, um alle Türen zu öffnen.
• Pass-the-Ticket: Neuere Windows-Versionen speichern Passwortdaten in einem als Ticket bezeichneten Konstrukt.  Mimikatz bietet einem Nutzer Funktionen, mit denen er ein Kerberos-Ticket an einen anderen Computer übergeben und sich dort mit dem Ticket dieses Benutzers anmelden kann. In jeder anderen Hinsicht entspricht es der Pass-the-Hash-Technik.
• Over-Pass the Hash (Pass-the-Key): Eine weitere Spielart von Pass-the-Hash, aber bei dieser Technik wird ein einzigartiger Schlüssel übergeben, um sich als ein Benutzer auszugeben, den Sie von einem Domänen-Controller abrufen können.
• Kerberos Golden Ticket: Hierbei handelt es sich um einen Pass-the-Ticket-Angriff, allerdings mit einem speziellen Ticket für ein verborgenes Konto namens KRBTGT, mit dessen Hilfe alle anderen Tickets verschlüsselt werden. Mit einem goldenen Ticket erhalten Sie Domain-Admin-Berechtigungen auf allen Computern im Netzwerk, die niemals ablaufen.
• Kerberos Silver Ticket: Eine andere Pass-the-Ticket-Technik, wobei ein silbernes Ticket eine Funktion in Windows ausnutzt, die es Ihnen erleichtert, Dienste im Netzwerk zu nutzen. Kerberos teilt einem Benutzer ein TGS-Ticket zu, mit dem sich der Benutzer bei allen Diensten im Netzwerk anmelden kann. Microsoft überprüft ein TGS nach der Ausgabe nicht immer, weshalb es leicht durch Sicherheitsvorkehrungen geschmuggelt werden kann.
• Pass-the-Cache: Endlich ein Angriff, der sich nicht Windows zunutze macht! Ein Pass-the-Cache-Angriff ist im Allgemeinen dasselbe wie Pass-the-Ticket, wobei allerdings die gespeicherten und verschlüsselten Anmeldedaten in einem Mac/UNIX/Linux-System verwendet werden.

Quellen zum Herunterladen von Mimikatz

Sie können Mimikatz von Benjamin Delpys GitHub herunterladen – er bietet mehrere Optionen als Download an, vom ausführbaren Programm bis zum Quellcode. Sie müssen es mit Visual Studio 2010 oder einer späteren Version kompilieren.

Wie Sie Mimikatz einsetzen

Wenn Sie Mimikatz mit dem ausführbaren Programm laufen lassen, wird Ihnen eine Mimikatz-Konsole im interaktiven Modus angezeigt, über die Sie Befehle in Echtzeit ausführen können.

Ausführen von Mimikatz als Administrator: Um den kompletten Funktionsumfang von Mimikatz zu erhalten, wählen Sie „Als Admin ausführen“, selbst wenn Sie ein Admin-Konto nutzen.

Überprüfen der Mimikatz-Version

Es gibt zwei Versionen von Mimikatz: 32 bit und 64 bit. Achten Sie darauf, die für Ihre Windows-Installation passende Version auszuführen. Mit dem Befehl „Version“ lassen Sie Mimikatz die Versionsinformationen der ausführbaren Datei und die Windows-Version abrufen, sowie Angaben darüber, ob die korrekte Ausführung von Mimikatz durch Windows-Einstellungen verhindert wird.

Extrahieren von Passwörtern in Klartext aus dem Speicher

Mit dem Mimikatz-Modul sekursla können Sie einen Dump der Passwörter aus dem Speicher durchführen. Um die Befehle im sekursla-Modul nutzen zu dürfen, benötigen Sie Admin- oder SYSTEM-Berechtigungen.

Führen Sie zunächst diesen Befehl aus:

mimikatz # privilege::debug

An der Ausgabe können Sie erkennen, ob Sie die notwendigen Berechtigungen für das weitere Vorgehen haben.

Starten Sie danach die Protokollfunktionen, um Ihre Arbeit später betrachten zu können.

mimikatz # log nameoflog.log

Und zum Schluss geben Sie alle auf diesem Computer gespeicherten Klartext-Passwörter aus.

mimikatz # sekurlsa::logonpasswords

Verwendung anderer Mimikatz-Module

Mit dem crypto-Modul können Sie auf die Crypto-API in Windows zugreifen, mit der Sie Zertifikate und deren private Schlüssel auflisten und exportieren können, selbst wenn sie als nicht exportierbar gekennzeichnet sind.

Das Kerberos-Modul greift auf die Kerberos-API zu, so dass Sie mit dieser Funktionalität spielen können, indem Sie Kerberos-Tickets zu extrahieren und manipulieren.

Mit dem Dienstmodul können Sie Windows-Dienste starten, anhalten, deaktivieren usw.

Und zu guter Letzt: Nach dem Befehl coffee wird die Ascii-Art eines Kaffees ausgegeben. Weil jeder Kaffee braucht.

Und Mimikatz bietet noch viel mehr. Wenn Sie Penetrationstests durchführen wollen oder einfach nur in den Inneren der Windows-Authentifizierung wühlen möchten, finden Sie hier weiterführende Informationen :

• Leitfaden für Penetrationstests in Active Directory-Umgebungen
• Der inoffizielle Mimikatz-Leitfaden mit Befehlsreferenzliste
• Koadic: LoL-Malware trifft auf Python-basierten Command and Control- (C2) Server
• Das offizielle Mimikatz-Wiki

Möchten Sie Mimikatz in Aktion erleben und sich informieren, wie Varonis Sie vor Eindringlingen schützt?  Melden Sie sich für unseren an und begleiten unsere Experten bei der Live-Demonstration eines Cyberangriffs in unserem Sicherheitslabor.