Mimikatz è un programma malware open source utilizzato da hacker e penetration tester per raccogliere credenziali su computer Windows. Codificato da Benjamin Deply nel 2007, mimikatz è stato originariamente creato per essere una prova di concetto per conoscere le vulnerabilità del protocollo di autenticazione Microsoft. Tuttavia, da allora mimikatz è diventato uno strumento di hacking comunemente scaricato.
Per funzionare completamente, mimikatz richiede controlli di amministratore o di sistema completi. Un attacco mimikatz utilizza diverse tecniche per trovare informazioni sensibili come password in chiaro, hash, codici pin e ticket dalla memoria di un sistema. Le credenziali raccolte possono quindi essere utilizzate per accedere a informazioni non autorizzate o eseguire attacchi di movimento laterale.
Sebbene mimikatz sia generalmente utilizzato come strumento sotterraneo e dannoso e la diffusione di virus malware sia illegale nella maggior parte dei paesi, alcuni professionisti potrebbero comunque pubblicizzarla come un'abilità che svolgono nel settore dell'hacking commerciale. È qui che le aziende assumono hacker white hat per aiutarli a cercare punti deboli nei propri sistemi di sicurezza.
Esistono sempre nuovi modi per hackerare un computer utilizzando mimikatz, quindi le difese contro di esso devono essere adattabili e aggiornate per rimanere efficaci. Un attacco mimikatz è difficile da rilevare, ma è possibile verificare se una macchina o un account è compromesso. È più facile eseguire un attacco mimikatz in un sistema con ampio accesso, perché memorizza diverse credenziali sotto un punto di accesso. Ad esempio, un utente che esegue Windows con un sistema SSO (Single Sign-On).
Tipi comuni di attacchi mimikatz
- Furto di password con testo in chiaro: le password vengono archiviate sulle macchine in uno stato prevedibile e non crittografato, consentendo la ricerca all'interno di un database.
- Attacco pass-the-hash: un attacco che comporta il riutilizzo delle credenziali archiviate in un sistema senza realmente scoprire cosa sono, ma persistendole su un account o su una parte di un sistema a cui l'autore dell'attacco normalmente non sarebbe in grado di accedere.
- Attacco con biglietto d'oro: un attacco con biglietto d'oro comporta la creazione di una falsa autenticazione all'interno di Kerberos, un protocollo di autenticazione che verifica utenti e server prima che le informazioni vengano scambiate. La falsa credenziale, o biglietto d'oro, consente agli aggressori di accedere per completare un numero qualsiasi di modifiche non autorizzate agli account e ai gruppi di sistema.