mimikatz - RunkIntel

# Mimikatz > [!danger] Credential Dumping - A Ferramenta de Referência > Ferramenta open source de extração de credenciais Windows criada por Benjamin Delpy em 2011 como prova de conceito para falhas de segurança do Windows. Tornou-se o padrão da indústria para credential dumping - usada por práticamente todos os grupos APT e operadores de ransomware para obter hashes de senha, tickets Kerberos e credenciais em texto claro da memória do LSASS. ## Visão Geral **Mimikatz** é a ferramenta de extração de credenciais mais conhecida e utilizada no mundo. Criada pelo pesquisador de segurança francês Benjamin Delpy (gentilkiwi) como demonstração das falhas de segurança de memória do Windows, o Mimikatz permanece operacional e relevante mais de uma década após seu lançamento - com novas funcionalidades continuamente adicionadas para acompanhar atualizações de segurança do Windows. O núcleo do Mimikatz é a capacidade de extrair credenciais diretamente da memória do processo **LSASS (Local Security Authority Subsystem Service)** - o processo Windows responsável por autenticação. Como o LSASS mantém hashes de senha, tickets Kerberos e, em versões legadas do Windows, senhas em texto claro, o Mimikatz se tornou indispensável em operações de post-exploitation. Grupos como [[g0016-apt29|APT29]], [[g0102-conti-group|Wizard Spider]] e [[g0034-sandworm|Sandworm Team]] utilizam Mimikatz como ferramenta central de escalação de privilégios e movimento lateral. Para equipes de defesa brasileiras, entender Mimikatz é fundamental: sua presença em um sistema indica que o atacante está em fase de credential harvesting - etapa crítica antes do movimento lateral e do eventual ransomware ou exfiltração. **Plataformas:** Windows ## Como Funciona O Mimikatz opera via módulos especializados que interagem com APIs do Windows e memória do processo LSASS: **Módulo sekurlsa (principal):** - `sekurlsa::logonpasswords` - extrai credenciais de todos os provedores de logon (WDigest, NTLM, Kerberos) - `sekurlsa::wdigest` - extrai senhas em texto claro (habilitado por padrão no Windows 7/2008) - `sekurlsa::tickets` - lista e exporta tickets Kerberos da memória - `sekurlsa::pth` - Pass-the-Hash: impersona usuário via hash NTLM sem precisar da senha **Módulo kerberos:** - `kerberos::golden` - cria Golden Tickets (tickets Kerberos forjados com chave krbtgt) - `kerberos::silver` - cria Silver Tickets (tickets para serviços específicos) - `kerberos::ptt` - Pass-the-Ticket: injeta ticket em sessão atual **Módulo lsadump:** - `lsadump::sam` - extrai hashes do SAM local (requer SYSTEM) - `lsadump::dcsync` - replica credenciais do Domain Controller via protocolo DCSync (sem tocar no LSASS do DC!) ## Uso Ofensivo ```mermaid graph TB A["🔑 Acesso com privilégios admin local ou SYSTEM"] --> B{"Técnica escolhida"} B --> C["🧠 LSASS Dump sekurlsa::logonpasswords"] B --> D["🎫 DCSync lsadump::dcsync"] B --> E["🏅 Golden Ticket kerberos::golden"] C --> F["🔓 Hashes NTLM + tickets Kerberos"] D --> G["👑 Todos os hashes do AD incluindo krbtgt"] E --> H["🚀 Acesso perpétuo qualquer serviço do AD"] F --> I["🌐 Pass-the-Hash movimento lateral"] G --> I H --> I ``` **Golden Ticket - persistência máxima no AD:** ```mermaid graph TB A["💥 Domain Controller comprometido krbtgt hash extraído"] --> B["🎫 kerberos::golden forja ticket de usuário admin"] B --> C["🏅 Golden Ticket válido por 10+ anos de padrão"] C --> D["🌐 Acesso a qualquer serviço do Active Directory"] D --> E["♻️ Persistência de longo prazo mesmo após reset de senhas"] E --> F["⚠️ Só reset do krbtgt 2x inválida os tickets"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2011 | Benjamin Delpy lança Mimikatz como PoC para falhas WDigest do Windows | | 2013 | Mandiant documenta uso do Mimikatz pelo [[g0006-apt1\|APT1]] em relatório histórico | | 2017 | NotPetya usa Mimikatz para se propagar via credenciais - impacto global de bilhões | | 2018 | Microsoft aumenta proteção do LSASS com Credential Guard e PPL | | 2020 | [[g0102-conti-group\|Wizard Spider]] usa Mimikatz em 90%+ dos ataques Conti | | 2022 | [[g0034-sandworm\|Sandworm Team]] usa Mimikatz em ataques destrutivos na Ucrânia | | 2024 | Versões adaptadas contornam PPL via drivers vulneráveis; relevância mantida | ## TTPs | ID | Nome | Uso pelo Mimikatz | |----|------|-----------------| | [[t1003-001-lsass-memory\|T1003.001]] | LSASS Memory | Extração direta de credenciais da memória LSASS | | [[t1550-002-pass-the-hash\|T1550.002]] | Pass the Hash | Autenticação via hash NTLM sem senha em texto claro | | [[t1558-001-golden-ticket\|T1558.001]] | Golden Ticket | Forja tickets Kerberos com hash krbtgt comprometido | | [[t1558-003-kerberoasting\|T1558.003]] | Kerberoasting | Extração de service tickets para quebra offline | | [[t1134-access-token-manipulation\|T1134]] | Access Token Manipulation | Impersonação de tokens de usuários privilegiados | ## Atores que Utilizam - [[g0016-apt29|APT29]] - credential harvesting em espionagem de alto perfil - [[g0032-lazarus-group|Lazarus Group]] e [[g0138-andariel|Andariel]] - acesso a sistemas financeiros - [[g0102-conti-group|Wizard Spider]] - Conti ransomware, credential access pré-deploy - [[g0034-sandworm|Sandworm Team]] - NotPetya e ataques destrutivos na Ucrânia - [[g0007-apt28|APT28]] - espionagem governamental e militar ## Relevância LATAM/Brasil O Mimikatz é encontrado em práticamente todos os incidentes graves de ransomware no Brasil. Grupos com vítimas brasileiras confirmadas - [[g0102-conti-group|Wizard Spider]] (Conti), [[alphv-blackcat-group|ALPHV/BlackCat]], [[lockbit-group|LockBit]] - o utilizam como passo essencial antes do movimento lateral. A detecção do Mimikatz em um sistema brasileiro é um indicador crítico de que a organização está em fase avançada de comprometimento. O módulo **DCSync** (`lsadump::dcsync`) é particularmente perigoso porque permite extrair todos os hashes do Active Directory sem nunca tocar no servidor LSASS do Domain Controller - tornando a detecção mais difícil. Para profissionais de segurança brasileiros, a implementação do **LSASS Protection (PPL)** e do **Credential Guard** são as mitigações mais efetivas - mas requerem hardware compatível e Windows 10/Server 2016 ou mais recente, ainda não universal no parque tecnológico das organizações brasileiras. ## Detecção **Indicadores de comprometimento:** - Processo lendo memória do LSASS via `OpenProcess(PROCESS_VM_READ)` ou `MiniDump` - Evento Windows 4625 (logon failure) em alta frequência seguido de logons bem-sucedidos - indica Pass-the-Hash - Replicação DCSync inesperada de conta que não é Domain Controller - Arquivo `mimikatz.exe`, `mimilib.dll` ou variantes (cat, katz, kiwi) em disco ou memória **Fontes de dados recomendadas:** - **Windows Security Event ID 4656 + 4663:** Acesso a objeto LSASS por processo não-SYSTEM - **Sysmon Event ID 10 (ProcessAccess):** `lsass.exe` como target de OpenProcess com `PROCESS_VM_READ` - **Windows Security Event ID 4769:** Requisições de ticket Kerberos para serviços não-usuais - Kerberoasting - **Windows Security Event ID 4742:** Reset de senha da conta krbtgt - pode indicar resposta a Golden Ticket **Regras de detecção:** - Sigma: `proc_access_win_lsass_memdump.yml` - acesso à memória do LSASS (SigmaHQ) - Sigma: `win_security_dcsync.yml` - DCSync via conta não-DC - Microsoft MDE: regra nativa `Credential-theft-Mimikatz` em Defender for Endpoint - YARA: `hacktool_win_mimikatz` - strings e estruturas do Mimikatz em disco e memória ## Referências - [1](https://attack.mitre.org/software/S0002) MITRE ATT&CK - S0002 Mimikatz (2024) - [2](https://github.com/gentilkiwi/mimikatz) GitHub - gentilkiwi/mimikatz (repositório oficial) - [3](https://adsecurity.org/?page_id=1821) ADSecurity - Mimikatz Overview, Defenses and More (2024) - [4](https://www.mandiant.com/resources/blog/apt1-exposing-one-of-chinas-cyber-espionage-units) Mandiant - APT1 Report incluindo uso de Mimikatz (2013) - [5](https://thedfirreport.com/2021/01/18/all-that-for-a-coinminer/) The DFIR Report - Mimikatz em cadeia de ataque ransomware (2021)