Mimikatz  (mimi katz) se convirtió en una herramienta de ataque extremadamente efectiva contra los clientes de Windows, permitiendo recuperar las contraseñas seguras, así como los hashes de contraseñas en memoria.  Bautizada como la navaja suiza de las herramientas de obtención de credenciales para Windows como también , Windows Credential Editor (WCE) de Hernán Ochoa.






Mimikatz, escrito por primera vez por el francés Benjamin Delpy (akk gentilkiwi) en 2011, ha simplificado y automatizado en gran medida la recopilación de credenciales en los sistemas de Windows.

Mimikatz: cute cat

Mimikatz es una utilidad de código abierto que permite ver la información de credenciales del Windows lsass (Servicio de Subsistema de la Autoridad de Seguridad Local) a través de su módulo sekurlsa que incluye contraseñas de texto plano y tickets Kerberos que luego podrían usarse para ataques como pass-the-hash y pase el boleto. La mayoría de las herramientas antivirus detectarán la presencia de Mimikatz como una amenaza y la eliminarán, pero puede ser interesante probar la seguridad en los sistemas.

Mimikatz proporciona una gran cantidad de herramientas para recopilar y hacer uso de Windows credenciales en los sistemas de destino, incluida la recuperación de contraseñas de texto claro, Lan Manager hashes y hashes NTLM, certificados y tickets de Kerberos. Las herramientas se ejecutan con diferentes éxito en todas las versiones de Windows desde XP hacia adelante, con una funcionalidad algo limitado en Windows 8.1 y posterior.



También ha salido a relucir como un componente de dos gusanos ransomware que han atravesado Ucrania y se han extendido por Europa, Rusia y EE. UU .: Tanto el ransomware  NotPetya como BadRabbit utilizaron a Mimikatz junto con herramientas filtradas de la NSA para crear ataques automatizados cuyas infecciones saturaron rápidamente las redes, con resultados desastrosos. NotPetya solo llevó a la parálisis de miles de computadoras en compañías como Maersk, Merck y FedEx, y se cree que ha causado más de mil millones de dólares en daños y perjuicios.

NTHash (NTLM)

Administrador: 500: aad3b435b51404eeaad3b435b51404ee: dfdedf4b5ec0e2f9042db9ccef992507 :::

<Nombre de usuario>: <ID de usuario>: <Hash LM>: <Hash NT>: <Comment>: <Home Dir>:

john --format = nt hash.txt

hashcat -m 1000 -a 3 hash.txt

Net-NTLMv1 / v2 también conocido como NTLMv1 / v2Permalink

john --format = netntlm hash.txt

hashcat -m 5500 -a 3 hash.txt

john --format = netntlmv2 hash.txt

hashcat -m 5600 -a 3 hash.txt

WDigest

Mimikatz se convirtió por primera vez en un activo clave para hackers gracias a su capacidad para explotar una oscura función de Windows llamada WDigest. Esa función está diseñada para hacer que sea más conveniente para los usuarios de Windows corporativos y gubernamentales probar su identidad a diferentes aplicaciones en su red o en la web; contiene sus credenciales de autenticación en la memoria y las reutiliza automáticamente, por lo que solo tienen que ingresar su nombre de usuario y contraseña una vez. Mientras Windows mantiene cifrada la copia de la contraseña del usuario, también guarda una copia de la clave secreta para descifrarla también en la memoria


En 2014, Microsoft respondió a este agujero de seguridad con un parche que permite a los administradores del sistema deshabilitar las contraseñas "WDigest" para que no se almacenen. Este aviso de Microsoft explica cómo deberán actualizar una entrada de registro especial.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

• https://support.microsoft.com/en-us/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a

En Windows 8 y superiores, la configuración predeterminada es no almacenar contraseñas de texto claro en lsass.



mimikatz viene en dos sabores: x64 o Win32, dependiendo de su versión de Windows (32/64 bits).
El sabor de Win32 no puede acceder a la memoria de proceso de 64 bits (como lsass), pero puede abrir un minivolcado de 32 bits en Windows 64 bits. Algunas operaciones necesitan privilegios de administrador o token de sistema, así que tenga en cuenta el UAC de la versión de Vista.

• https://github.com/gentilkiwi/mimikatz/releases/latest  

privilege::debug
inject::process lsass.exe s
ekurlsa.dll@getLogonPasswords
sekurlsa::logonpasswords

Más ejemplos de uso:

• http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html

Módulos de uso de mimikatz con Metasploit

meterpreter > mimikatz_command -f fu::
Module : 'fu' introuvable

Modules disponibles : 
                - Standard
      crypto    - Cryptographie et certificats
        hash    - Hash
      system    - Gestion système
     process    - Manipulation des processus
      thread    - Manipulation des threads
     service    - Manipulation des services
   privilege    - Manipulation des privilèges
      handle    - Manipulation des handles
 impersonate    - Manipulation tokens d'accès
     winmine    - Manipulation du démineur
 minesweeper    - Manipulation du démineur 7
       nogpo    - Anti-gpo et patchs divers
     samdump    - Dump de SAM
      inject    - Injecteur de librairies
          ts    - Terminal Server
      divers    - Fonctions diverses n'ayant pas encore assez de corps pour 
avoir leurs propres module
    sekurlsa    - Dump des sessions courantes par providers LSASS
         efs    - Manipulations EFS

• https://www.offensive-security.com/metasploit-unleashed/mimikatz/

Módulos de  mimikatz

• standard
• privilege
• crypto
• sekurlsa
• kerberos
• lsadump
• vault
• token
• event
• ts
• process
• service
• net
• misc
• library mimilib
• driver mimidrv

Características técnicas (features)

• Dump credentials from LSASS (Windows Local Security Account database)
• MSV1.0: hashes & keys (dpapi)
• Kerberos password, ekeys, tickets, & PIN
• TsPkg (password)
• WDigest (clear-text password)
• LiveSSP (clear-text password)
• SSP (clear-text password)
• Generate Kerberos Golden Tickets (Kerberos TGT logon token ticket attack)
• Generate Kerberos Silver Tickets (Kerberos TGS service ticket attack)
• Export certificates and keys (even those not normally exportable).
• Dump cached credentials
• Stop event monitoring.
• Bypass Microsoft AppLocker / Software Restriction Polcies
• Patch Terminal Server
• Basic GPO bypass
• lsadump::postzerologon, vulnerabilidad CVE-2020-1472 aka ZeroLogon detection, exploit, DCSync support (Netlogon Elevation of Privilege Vulnerability)

Reglas Yara para la detección de la herramienta

• https://yara.adlice.com/view.php?id=12339

Fuentes:
https://www.wired.com/story/how-mimikatz-became-go-to-hacker-tool/

Proyecto LaZagne

El proyecto LaZagne es un aplicación de código abierto usada para recuperar multitud de contraseñas almacenadas en equipos locales. Muchos productos de software almacenan contraseñas de acceso usando diferentes técnicas, desde el texto plano común, pasando por bases de datos, API's y algoritmos propios.