Qu’est-ce que Mimikatz : guide du débutant

Mimikatz

Au départ, Benjamin Delpy a créé Mimikatz pour établir une preuve de concept et montrer à Microsoft que ses protocoles d’authentification étaient vulnérables aux attaques. Sans le vouloir, il a créé un des outils de piratage les plus largement utilisés et téléchargés au cours des 20 dernières années.

Jake Williams, spécialiste de la sécurité des informations chez Rendition a déclaré : « Mimikatz a fait davantage progresser la sécurité que tout autre outil me venant à l’esprit ». Si vous êtes chargé de protéger des réseaux sous Windows, vous devez impérativement vous tenir informé des derniers développements concernant Mimikatz afin de comprendre les techniques utilisées par les hackers pour s’infiltrer dans vos réseaux, et garder ainsi une longueur d’avance.

Qu’est-ce que Mimikatz ?

Mimikatz est une application en accès libre qui permet aux utilisateurs de voir et enregistrer des informations d’authentification comme les tickets Kerberos. Étant donné que Benjamin Delpy dirige toujours les développements de Mimikatz, l’ensemble d’outils fonctionne avec la version actuelle de Windows et intègre les attaques les plus récentes.

Les hackers utilisent couramment Mimikatz pour voler des données d’identification et augmenter les droits : dans la plupart des cas, un logiciel de protection des terminaux et des systèmes antivirus le détecteront et le supprimeront. À l’inverse, les testeurs d’intrusion utilisent Mimikatz pour détecter et exploiter les vulnérabilités de vos réseaux afin que vous puissiez leur trouver une parade.

mimikatz definition

Que peut faire Mimikatz ?

Au départ, Mimikatz montrait comment exploiter une simple vulnérabilité du système d’authentification de Windows. Aujourd’hui, l’outil permet de procéder à la démonstration de plusieurs types de vulnérabilités. Mimikatz peut utiliser des techniques de rassemblement de données d’identification telles que :

  • Pass-the-Hash : Windows avait pour habitude de conserver les données de mot de passe dans un hachage NTLM. Les hackers utilisent Mimikatz pour transmettre la chaîne de hachage exacte à l’ordinateur cible pour se connecter. Ils n’ont même pas besoin de craquer le mot de passe, il leur suffit d’utiliser la chaîne de hachage. C’est comme si l’on trouvait par terre le passe-partout d’un bâtiment. Une clé suffit pour ouvrir toutes les portes.
  • Pass-the-Ticket : les versions plus récentes de Windows conservent les données de mot de passe dans un élément appelé « ticket ».  Mimikatz donne la possibilité à un utilisateur de transmettre un ticket kerberos à un autre ordinateur et de l’utiliser pour se connecter. Fondamentalement, c’est l’équivalent de pass-the-hash.
  • Over-Pass the Hash (Pass the Key) : encore une autre variante de « pass-the-hash », mais cette technique transmet une clé unique obtenue auprès d’un contrôleur de domaine pour se faire passer pour un utilisateur.
  • Kerberos Golden Ticket : il s’agit d’une attaque pass-the-ticket, à la différence près que ce ticket correspond à un compte masqué nommé KRBTGT, qui n’est autre que le compte qui chiffre tous les autres tickets. Un golden ticket vous accorde, pour tout ordinateur du réseau, des droits d’administrateur de domaine qui n’expirent pas.
  • Kerberos Silver Ticket : une autre attaque pass-the-ticket, sauf qu’un silver ticket exploite une caractéristique de Windows qui vous permet d’utiliser facilement des services sur le réseau. Kerberos accorde un ticket TGS à un utilisateur et celui-ci peut l’utiliser pour se connecter à n’importe quel service du réseau. Microsoft ne contrôle pas toujours le TGS une fois qu’il a été émis, et il peut donc facilement passer entre les mailles de n’importe quelle protection.
  • Pass-the-Cache : enfin une attaque qui n’exploite pas Windows ! Une attaque pass-the-cache est généralement équivalente à une attaque pass-the-ticket, à la différence près qu’elle utilise les données de connexion enregistrées et chiffrées d’un système Mac/UNIX/Linux.

what can mimikatz do

Où télécharger Mimikatz

Vous pouvez télécharger Mimikatz sur le GitHub de Benjamin Delpy. Il propose plusieurs options de téléchargement, de l’exécutable jusqu’au code source. Pour la compilation, vous devez utiliser Visual Studio 2010 ou supérieur.

Comment utiliser Mimikatz

Lorsque vous lancez Mimikatz avec l’exécutable, vous obtenez une console interactive depuis laquelle vous pouvez exécuter des commandes en temps réel.

Exécutez Mimikatz en tant qu’Administrateur : pour être totalement fonctionnel, Mimikatz doit être « Exécuté en tant qu’administrateur », même si vous utilisez un compte Administrateur.

Contrôle de la version de Mimikatz

Il existe 2 versions de Mimikatz : 32 bits et 64 bits. Assurez-vous d’exécuter la version adaptée à votre installation Windows. Depuis l’invite Mimikatz, exécutez la commande ‘version’ pour obtenir des informations sur l’exécutable Mimikatz, connaître la version de Windows et savoir si des paramètres Windows empêcheront le bon fonctionnement de Mimikatz.

Extrayez les mots de passe en texte clair de la mémoire

Le module sekurlsa de Mimikatz vous permet de supprimer les mots de passe de la mémoire. Pour utiliser les commandes du module sekurlsa, vous devez disposer de droits Admin ou SYSTEME.

Commencez par exécuter la commande suivante :

mimikatz # privilege::debug

La sortie vous indique si vous disposez des droits requis pour continuer.

Ensuite, lancez les fonctions de journalisation afin de pouvoir vous référer par la suite à ce que vous avez fait.

mimikatz # log nameoflog.log

Enfin, sortez tous les mots de passe en texte clair conservés sur cet ordinateur.

mimikatz # sekurlsa::logonpasswords

Utilisation d’autres modules Mimikatz

Le module de chiffrement vous permet d’accéder à l’interface CryptoAPI de Windows grâce à laquelle vous pouvez lister et exporter les certificats et leurs clés privées, même s’ils sont marqués comme étant non-exportables.

Le module kerberos accède à l’API Kerberos afin que vous puissiez jouer avec cette fonctionnalité en extrayant et en manipulant des tickets Kerberos.

Le module de service vous permet de démarrer, arrêter, désactiver etc. des services Windows.

Pour terminer, la commande coffee retourne le dessin ascii d’une tasse de café. Car tout le monde a besoin de café.

Mais Mimikatz fait tellement plus. Si vous êtes intéressé par les tests de pénétration ou souhaitez vous familiariser un peu avec les systèmes d’authentification de Windows, consultez les références et liens ci-dessous :

Vous voulez voir Mimikatz en action et savoir comment Varonis vous protège des hackers ?  Participez gratuitement à notre Atelier cyberattaque en direct et regardez nos techniciens lancer une cyberattaque en direct dans notre laboratoire de sécurité.