ミミカッツとは：初心者向けガイド

Benjamin Delpyは当初、認証プロトコルへの攻撃に対するMicrosoftの脆弱性を実証するための概念実証としてMimikatzを作成しました。代わりに、彼は過去20年間で最も広く使用されダウンロードされたハッキン​​グツールの1つを誤って作成しました。



RenditionInfosecのJakeWilliamsは、「 Mimikatzは、 私が知っている他のどのツールよりもセキュリティを向上させるために多くのことを行ってきました」と述べています。Windowsネットワークを保護することがあなたの仕事である場合、ハッカーがネットワークに侵入して一歩先を行くために使用する手法を理解するために、最新のMimikatzアップデートを最新の状態に保つことが重要です。

ミミカッツとは？

Mimikatzは、ユーザーがKerberosチケットなどの認証資格情報を表示および保存できるようにするオープンソースアプリケーションです 。Benjamin Delpyは引き続きMimikatzの開発を主導しているため、ツールキットは現在のバージョンのWindowsで動作し、最先端の攻撃が含まれています。



攻撃者は通常、Mimikatzを使用して資格情報を盗み、特権を昇格させます。ほとんどの場合、エンドポイント保護ソフトウェアとウイルス対策システムがそれを検出して削除します。逆に、侵入テスターはMimikatzを使用してネットワークの脆弱性を検出およびテストし、修正できるようにします。

ミミカッツの特徴

Mimikatzは当初、Windows認証システムの1つの脆弱性を悪用する方法を示しました。現在、このツールはいくつかの異なるタイプの脆弱性をカバーしています。Mimikatzは、次の資格情報収集方法を実行できます。

• Pass-the-Hash：以前は、Windowsは認証資格情報をNTLMハッシュに保存していました。攻撃者はMimikatzを使用して、ログインのために正確なハッシュ文字列をターゲットコンピュータに渡します。攻撃者はパスワードを解読する必要すらありません。ハッシュを傍受し、処理せずに使用するだけです。これは、床にある家のすべてのドアの鍵を見つけることと同じです。ドアを開けるには鍵が1つ必要です。
• Pass-the-Ticket ( ): Windows , (Ticket). Mimikatz Kerberos . , .
• Over-Pass the Hash (Pass the Key): pass-the-hash, , .
• Kerberos Golden Ticket): (pass-the-ticket), KRBTGT. .« » .
• Kerberos Silver Ticket: pass-the-ticket, « » Windows, . Kerberos (TGS), . Microsoft (TGS) , .
• Pass-the-Cache): , Windows! , Mac/UNIX/Linux.

Mimikatz

MimikatzはBenjaminDelpyのGitHubからダウンロードできます。実行可能ファイルから ソースコードまで、いくつかのダウンロードオプションが用意されて おり、Visual Studio2010以降でコンパイルする必要があります。

Mimikatzの使用方法

Mimikatz実行可能ファイルを実行すると、Mimikatzインタラクティブコンソールが表示され、コマンドをリアルタイムで実行できます。



管理者としてMimikatzを実行する： Mimikatzを正しく機能させるには、管理者アカウントを使用している場合でも、[管理者として実行]を選択します。



Mimikatzバージョンの確認Mimikatzには、

32ビットと64ビットの2つのバージョンがあります。 Windowsビットに正しいバージョンを使用していることを確認してください。 Mimikatzコマンドラインからversionコマンドを実行して、Mimikatz実行可能ファイル、Windowsバージョン、およびMimikatzが正しく機能しない可能性のあるWindows設定に関する情報を取得します。





メモリからのクリアテキストパスワードの取得Mimikatzのsekurlsaモジュールを使用すると、メモリからパスワードを取得できます。sekurlsaモジュールでコマンドを使用するには、管理者またはシステムレベルの権限が必要です。



最初にコマンドを実行します。

mimikatz # privilege::debug 

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

続行するための適切な権限があるかどうかがわかります。

次に、ログ機能を開始します。将来、作業でこのログが必要になる可能性があります。

mimikatz # log nameoflog.log

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

最後に、このコンピューターに保存されているすべてのパスワードをプレーンテキストで出力します。

mimikatz # sekurlsa::logonpasswords

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

他のMimikatzモジュールの使用

暗号化モジュールは、Windows上のCryptoAPIを公開します。これにより、証明書とその秘密鍵がエクスポート不可としてマークされている場合でも、それらを列挙してエクスポートできます。



KerberosモジュールはKerberosAPIにアクセスするため、Kerberosチケットを取得して管理することにより、この機能を試すことができます 。



サービスモジュールを使用すると、Windowsサービスで開始、停止、無効化、およびその他の操作を実行できます。



そして最後に、誰もがコーヒーを必要としているため、coffeeコマンドは コーヒーのASCII画像を出力します。



Mimikatzは、さらに多くの機能を備えています。侵入テストに興味がある場合、またはWindows認証の内部を詳しく調べたい場合は、以下のリンクを確認してください。

• ActiveDirectory環境の侵入テストガイド
• 非公式のMimikatzマニュアルおよびコマンドリファレンス
• Koadic：LOLマルウェアとPythonコマンドおよび制御サーバー
• ミミカッツの公式百科事典

Mimikatzの動作を確認し、Varonisが侵入者からどのように保護しているかを知りたいですか？無料のインタラクティブなハンズオンサイバー攻撃ワークショップに参加して、 Varonisエンジニアがセキュリティラボでサイバー攻撃を行う方法をご覧ください。