Bienvenidos a un nuevo post en Byte Mind, en el caso de hoy vamos a hablar de Mimikatz, una herramienta que puede ser utilizada para poner en riesgo nuestra seguridad.
Esta herramienta, creada hace unos años por Benjamin Delpy, tenía como objetivo descubrir vulnerabilidades en windows que permitiesen a un atacante obtener las credenciales de los usuarios del sistema, aunque nunca imaginaría que se convirtiese en una herramienta tan popular entre hackers y pentesters de todo el globo.
¿Qué es Mimikatz?
Mimikatz es una aplicación de código abierto escrita en el lenguaje C por Benjamin Delpy. Sus principales funciones son extraer contraseñas en texto plano, hashes ntlm y la generación de tickets de Kerberos.
Además brinda capacidades para infiltrarse en los sistemas, por lo que también es muy utilizada por pentesters frecuentemente para detectar y explotar vulnerabilidades en el sistema.
Está disponible tanto para arquitecturas de 32 como de 64 bits y puede descargarse directamente compilada desde github.
¿Cómo funciona?
Mimikatz utiliza la característica de Windows de Inicio de Sesión Único (Single Sign-ON), la cual utiliza esta herramienta para robar las credenciales. Además, hasta la versión 10 de windows, por defecto utilizaba una función llamada WDigest, la cual guardaba contraseñas cifradas en memoria, aunque también guardaba la clave secreta de las mismas.
Actualmente esta función, WDigest, está desactivada en Windows, aunque sigue siendo una potencial amenaza, debido a que un posible atacante sólo tiene que activarla y lanzar Mimikatz para poder aprovechar la misma para robar las credenciales de los usuarios del sistema.
Es importante tener en cuenta que para utilizar Mimikatz el atacante debe:
- Disponer de una cuenta, o credenciales de la misma, en el sistema que quiera atacar
- Disponer de derechos de administrador
En el ámbito del pentesting puede ser utilizada también para:
- Descubrir rootkits en modo kernel listando los hooks colocados en las APIs de Windows
- Encontrar claves privadas RSA utilizadas para cifrar discos duros, incluso si ha sido eliminado el certificado
- Enumerar las autenticaciones secundarias iniciadas mediante diferentes vectores o, encontrar huellas dactilares secundarias que normalmente están ocultas
¿Qué técnicas utiliza?
Mimikatz utiliza diferentes técnicas para lograr su objetivo que son las siguientes:
- Pass-the-Ticket -> los datos de la password de un usuario se guardan en los tickets Kerberos. Mimikatz ofrece la posibilidad de acceder a este ticket y autenticarse sin la necesidad de utilizar una contraseña.
- Pass-the-Cache -> en este caso, el ataque es similar a Pass-the-Ticket, pero en este caso utiliza los datos de conexión grabados y cifrados de un sistema Linux/Unix/Mac
- Pass-the-Hash -> en este caso es indiferente si el atacante tiene acceso a la contraseña en texto plano o no debido a que se puede autenticar en el sistema mediante los hashes NTLM
Además, dentro del tipo de ataque Pass-the-Ticket podemos encontrar dos más en función del tipo de ticket otorgado.
- Kerberos Golden Ticket -> en este caso, el ticket utilizado corresponde a la cuenta oculta KRBTGT, utilizada para cifrar todos los demás tickets. Gracias a este tipo de ataque, es posible obtener permisos de administrador de dominio, los cuales no caducan.
- Kerberos Silver Ticket -> en este otro caso, Kerberos otorga un ticket TGS a un usuario, que puede utilizarlo posteriormente para conectarse a cualquier servicio de la red.
Uso de mimikatz
Ahora que ya conocemos qué es mimikatz y para que es posible utilizarlo vamos con él.
Es posible ver un listado de los módulos disponibles escribiendo lo que sea seguido de :: como vemos en la siguiente captura
Vamos a hacer en este caso una prueba simple de tratar de obtener las claves en texto plano de los usuarios, por lo que abrimos la consola y lanzamos el siguiente comando en primer lugar para obtener los privilegios de depuración:
|
1 |
privilege::debug |
Y posteriormente utilizaremos el módulo sekurlsa con la opción logonPasswords para tratar de obtener las claves en texto plano
|
1 |
sekurlsa::logonPasswords |
En la siguiente captura vemos con éxito como se han obtenido los datos
En este caso no hemos obtenido las credenciales del usuario sample2 pero hemos obtenido el hash ntlm, el cual como hemos visto antes, podemos utilizar para loguearnos a través del mismo, o, utilizar herramientas como john para tratar de descifrar el mismo.
Y que si tratamos de descifrar el mismo obtenemos que al descifrar el hash 93A13C42FC0C8D1B311AE2477194AB55 obtenemos la password “password123.”
Esto ha sido todo por ahora, espero les sirva de aprendizaje y les ayude en la ardúa tarea de hacer seguros nuestros sistemas. Gracias por leernos y cualquier duda o sugerencia es bienvenida en la sección de comentarios.
