מה זה Mimikatz?

הקדמה:
* כאשר המחשב נדלק, מופעל רכיב בשם LSA ,ראשי תיבות: Local Security Authority.
* המשתמש יקליד את שם המשתמש והסיסמא שלו ורכיב ה-LSA יפעיל את חבילת אימות הכניסה (LSASS) ראשי תיבות: Local Security Authority Subsystem Service.
* חבילת האימות אחראית על תהליכי האימות (כניסה למחשב המקומי, למשאבי רשת, קבצים ומדפסות) לאחר עליית מערכת, ההפעלה חבילת האימות בודקת את שם המשתמש והסיסמא שהקליד המשתמש, מעביר ושומר אותם בקבצי DLL רלוונטיים ומשווה אותם עם החשבונות השמורים במערכת (SAM).
* במקרה שנתוני הכניסה אינם תואמים, המערכת תדחה את נסיון הכניסה ותציג הודעה על המסך.
* במקרה שנתוני הכניסה תואמים ונמצאו תקינים, חבילת האימות תאפשר להיכנס אל המערכת ותעביר את נתוני הכניסה המתאימים אל ה-LSA ליצירת SAT, ראשי תיבות: Security Access Token.
* מערכת משנה הנקראת Win32 יוצרת הליך המקושר אל SAT ומפעילה את שולחן העבודה.

Mimikatz:

כלי שנכתב בשפת C על ידי מפתח צרפתי בשם בנג'מין דלפי (Benjamin Delpy) לצורך בדיקות במערכות ההפעלה Windows מבית מייקרוסופט.
הכלי מאפשר שליפה של סיסמאות מתוך קובץ DUMP של תהליך ה-LSASS (בדרך כלל שולף את הנתונים בעבור HTTP Digest ועוד) ומציג אותן למשתמש בצורה גלויה ולא שום הצפנה.
* Mimikatz זה לא אקספלויט!


כלים נוספים המחלצים סיסמאות מהזיכרון:
WCE Windows Credentials Editor ומודול של Mimikatz הנקרא Kiwi.

שימוש:
1. privilege::debug
2. sekurlsa::logonpasswords
3. sekurlsa::minidump C:\Users\ADMIN~1\AppData\Local\Temp\lsass.DMP
4. C:\windows\temp\procdump.exe -accepteula -ma lsass.exe 


שתף:

פאביו ליאור רחמים

סקרן, אוהב טכנולוגיה ומחשבים מזה שנים רבות וכותב ערכים קבוע בויקיפדיה.