Mimikatz

Mimikatz es una aplicación diseñada para Windows que se utiliza para extraer contraseñas de volcados de memoria del sistema o archivos de hibernación. Para usar esta herramienta, los usuarios deben tener acceso a una cuenta de administrador.

Propósito

El objetivo principal de este software es obtener la contraseña al descifrar la frase clave encontrada en la RAM, explotando una vulnerabilidad de seguridad que está presente en cualquier sistema operativo moderno de Windows.

Los datos sensibles se almacenan en un sistema operativo en forma de hash protegidos. Incluso con herramientas especializadas de descifrado, no es posible adivinar la frase clave mediante fuerza bruta. Sin embargo, algunos servicios de Windows, como los controles de seguridad de autenticación y LSASS, requieren la contraseña original del usuario en texto plano.

Intercepción

Tiene archivos ejecutables disponibles tanto para sistemas operativos de 32 como de 64 bits. Para interceptar la frase clave, hay que lanzar la aplicación con privilegios de administrador y luego ejecutar los siguientes comandos de manera secuencial: privilege::debug y sekurlsa::logonPasswords full. La ventana de la consola mostrará una lista de todos los usuarios activos y sus respectivas contraseñas.

Para extraer la clave de un volcado de memoria, es necesario utilizar PowerShell. Es posible abrir la terminal e ingresar el comando Get-Process lsass | Out-Minidump. Esto creará un archivo DMP en la carpeta del sistema, que se puede transferir a otra computadora. Después de transferir el archivo, ejecute el comando sekurlsa::minidump seguido del nombre del archivo de volcado como argumento. Finalmente, es posible ingresar sekurlsa::logonPasswords para acceder a las claves descifradas.