# Mimikatz > [!danger] Credential Dumping - Ferramenta de Referência Global > Ferramenta open source de extração de credenciais Windows - usada por práticamente todos os grupos APT e operadores de ransomware. Extrai hashes NTLM, tickets Kerberos e senhas em texto claro diretamente da memória do processo LSASS. ## Visão Geral **Mimikatz** é a ferramenta de credential dumping mais conhecida do mundo. Criada pelo pesquisador Benjamin Delpy (gentilkiwi) em 2011 como demonstração de falhas de segurança do Windows, permanece operacional e indispensável em operações ofensivas mais de uma década depois. O Mimikatz acessa o processo **LSASS** (Local Security Authority Subsystem Service) para extrair credenciais armazenadas em memória: hashes NTLM para Pass-the-Hash, tickets Kerberos para Pass-the-Ticket, e em sistemas legados (Windows 7/2008), senhas em texto claro via WDigest. O módulo **DCSync** (`lsadump::dcsync`) é especialmente poderoso: replica credenciais do Domain Controller via protocolo de replicação do AD sem precisar tocar no LSASS do DC diretamente - tornando a detecção mais difícil e o impacto total (extração de todas as contas do domínio). **Plataformas:** Windows ## Como Funciona Principais módulos: - `sekurlsa::logonpasswords` - extrai credenciais de todos os provedores (NTLM, Kerberos, WDigest) - `sekurlsa::pth` - Pass-the-Hash: impersona usuário via hash sem precisar da senha - `kerberos::golden` - Golden Ticket: forja ticket Kerberos com hash krbtgt - `lsadump::dcsync` - extrai TODOS os hashes do domínio via replicação AD - `lsadump::sam` - extrai hashes do SAM local ## Uso Ofensivo ```mermaid graph TB A["🔑 Acesso admin/SYSTEM<br/>no host comprometido"] --> B{"Objetivo da extração"} B --> C["🧠 sekurlsa::logonpasswords<br/>LSASS dump local"] B --> D["🔄 lsadump::dcsync<br/>replicação remota do AD"] C --> E["🔓 Hashes NTLM<br/>tickets Kerberos"] D --> F["👑 TODOS os hashes<br/>incluindo krbtgt"] E --> G["🌐 Pass-the-Hash<br/>ou Pass-the-Ticket"] F --> H["🏅 Golden Ticket<br/>acesso perpétuo ao AD"] ``` **Golden Ticket - persistência avançada:** ```mermaid graph TB A["💥 DC comprometido<br/>krbtgt hash extraído"] --> B["🎫 kerberos::golden<br/>ticket forjado com krbtgt"] B --> C["🏅 Ticket válido 10+ anos<br/>por padrão Windows"] C --> D["🌐 Qualquer serviço AD<br/>acesso completo"] D --> E["♻️ Persiste mesmo após<br/>reset de senhas de usuários"] ``` ## TTPs | ID | Nome | Uso pelo Mimikatz | |----|------|-----------------| | [[t1003-001-lsass-memory\|T1003.001]] | LSASS Memory | Extração de credenciais da memória LSASS | | [[t1550-002-pass-the-hash\|T1550.002]] | Pass the Hash | Autenticação com hash NTLM sem a senha | | [[t1558-001-golden-ticket\|T1558.001]] | Golden Ticket | Forja tickets Kerberos duradouros | | [[t1558-003-kerberoasting\|T1558.003]] | Kerberoasting | Extração de service tickets para quebra offline | ## Atores que Utilizam - [[g0016-apt29|APT29]] (Cozy Bear) - credential harvesting em espionagem de Estado - [[g0102-conti-group|Wizard Spider]] - pré-deploy de Conti/Ryuk ransomware - [[g0034-sandworm|Sandworm Team]] - NotPetya e ataques destrutivos - [[g0032-lazarus-group|Lazarus Group]] - acesso a sistemas financeiros - [[g0007-apt28|APT28]] (Fancy Bear) - espionagem militar e governamental ## Relevância LATAM/Brasil O Mimikatz está presente em práticamente todos os incidentes graves de ransomware no Brasil. A sequência típica de grupos como [[g0102-conti-group|Wizard Spider]] (Conti) é: acesso inicial via phishing, elevação de privilégio, execução do Mimikatz para obter Domain Admin, uso de [[psexec|PsExec]] para deploy do ransomware em escala. Para profissionais de IR brasileiros, encontrar artefatos do Mimikatz (`sekurlsa`, `mimikatz.exe`, ou módulos carregados em memória) é indicador de que a fase de credential access está ocorrendo - janela crítica para containment. ## Detecção **Indicadores de comprometimento:** - Processo lendo memória do LSASS via `MiniDumpWriteDump` ou `OpenProcess(PROCESS_VM_READ)` - Arquivo `mimikatz.exe`, `mimilib.dll` ou nomes disfarçados em sistemas de produção - DCSync: replicação AD (`GetNCChanges`) originada de conta que não é Domain Controller **Fontes de dados:** - **Sysmon Event ID 10 (ProcessAccess):** `lsass.exe` como target com flag `PROCESS_VM_READ` - **Windows Security Event ID 4769:** Tickets Kerberos para serviços incomuns (Kerberoasting) - **Windows Security Event ID 4742:** Reset da conta krbtgt (resposta a Golden Ticket) **Regras de detecção:** - Sigma: `proc_access_win_lsass_memdump.yml` - acesso à memória LSASS (SigmaHQ) - Sigma: `win_security_dcsync.yml` - DCSync por conta não-DC - YARA: `hacktool_win_mimikatz` - strings características em disco e memória ## Referências - [1](https://attack.mitre.org/software/S0002) MITRE ATT&CK - S0002 Mimikatz (2024) - [2](https://github.com/gentilkiwi/mimikatz) GitHub - gentilkiwi/mimikatz (repositório oficial) - [3](https://adsecurity.org/?page_id=1821) ADSecurity - Mimikatz Overview, Defenses and More (2024)