Was ist mimikatz?
Mimikatz
Mimikatz ist ein Open-Source-Tool, das hauptsächlich für Penetrationstests und Post-Exploitation in Windows-Umgebungen verwendet wird. Es ermöglicht die Extraktion von Klartext-Passwörtern, Hash-Werten, PIN-Codes und Kerberos-Tickets aus dem Speicher eines Windows-Systems.
Hauptfunktionen und Konzepte:
- Passwort-Extraktion:
Mimikatz kann Passwörter im Klartext aus dem Speicher extrahieren, insbesondere solche, die vom Windows-Anmeldeinformations-Manager (Credential Manager) oder dem Local Security Authority Subsystem Service (LSASS) gespeichert werden. LSASS ist ein wichtiger Prozess, der Sicherheitsrichtlinien auf Windows-Systemen verwaltet. Mehr dazu: https://de.wikiwhat.page/kavramlar/LSASS
- Hash-Extraktion:
Wenn Klartext-Passwörter nicht verfügbar sind, kann Mimikatz Hash-Werte extrahieren. Diese Hash-Werte können dann für Offline-Cracking-Angriffe oder Pass-the-Hash-Angriffe verwendet werden.
Pass-the-Hash: https://de.wikiwhat.page/kavramlar/Pass%20The%20Hash
- Kerberos-Ticket-Extraktion:
Mimikatz kann Kerberos-Tickets extrahieren, die für die Authentifizierung in einer Windows-Domäne verwendet werden. Diese Tickets können dann für Pass-the-Ticket-Angriffe verwendet werden, um sich als ein anderer Benutzer im Netzwerk auszugeben. Mehr dazu: https://de.wikiwhat.page/kavramlar/Kerberos
- Manipulation von Sicherheitsrichtlinien:
Mimikatz kann auch verwendet werden, um Sicherheitsrichtlinien auf einem Windows-System zu manipulieren, z. B. das Deaktivieren der User Account Control (UAC) oder das Ändern von Benutzerrechten. UAC: https://de.wikiwhat.page/kavramlar/User%20Account%20Control
- Golden-Ticket-Angriffe:
Mimikatz ermöglicht die Erstellung von "Golden Tickets", die verwendet werden können, um unbegrenzten Zugriff auf alle Ressourcen in einer Windows-Domäne zu erhalten. Dieser Angriff nutzt die Kompromittierung des Kerberos Key Distribution Center (KDC) aus. Mehr dazu: https://de.wikiwhat.page/kavramlar/Kerberos%20Key%20Distribution%20Center
Verwendung:
Mimikatz wird in der Regel von Penetrationstestern verwendet, um Sicherheitslücken in Windows-Umgebungen aufzudecken. Es kann auch von Angreifern verwendet werden, um sich unbefugten Zugriff auf Systeme und Daten zu verschaffen.
Schutzmaßnahmen:
Es gibt verschiedene Möglichkeiten, sich vor Mimikatz-Angriffen zu schützen, darunter:
- Implementierung von Least-Privilege-Prinzipien: Beschränken Sie die Benutzerrechte auf das absolute Minimum, das für die Ausführung der jeweiligen Aufgabe erforderlich ist.
- Härtung von Windows-Systemen: Deaktivieren Sie unnötige Dienste und Funktionen, und konfigurieren Sie Sicherheitsrichtlinien so, dass sie möglichst restriktiv sind.
- Verwendung von Credential Guard: Credential Guard isoliert LSASS in einer virtualisierungsbasierten Sicherheitsumgebung, um zu verhindern, dass Mimikatz auf Anmeldeinformationen zugreift.
- Überwachung von Sicherheitsereignissen: Überwachen Sie Windows-Systeme auf verdächtige Aktivitäten, z. B. Versuche, auf LSASS zuzugreifen oder Passwörter zu extrahieren.
- Patching: Regelmäßige Installation von Sicherheitsupdates.
- Einsatz von Antivirus- und EDR-Lösungen: Moderne Antivirus- und EDR-Lösungen können Mimikatz erkennen und blockieren.
Wichtiger Hinweis: Die Verwendung von Mimikatz in unbefugten Umgebungen ist illegal und kann schwerwiegende rechtliche Konsequenzen haben.