Mimikatz

Mimikatzは、メモリダンプやハイバネーションファイルからシステムパスワードを引き出すことができるWindowsユーティリティです。本アプリを使用するには、管理者アカウントへのアクセスが必要となります。

主な目的

本ツールは、最新のWindows OSに内在するセキュリティの脆弱性を利用しています。RAMからキーフレーズを抽出し、それを解読することでパスワードの取得を可能にします。

お使いのオペレーティングシステムは、保護された八種の形ですべての機密データを保存しています。本システムをブルートフォースすれば、高度に専門化された復号化ツールでも、キーフレーズが推測されることはできません。ただし、認証セキュリティチェックやLSASSなどの一部のWindowsサービスでは、プレーンテキスト形式で作られた元々のユーザーパスワードが必要になります。

キーフレーズの傍受

こちらには32ビットと64ビット、両方のオペレーティングシステムに適用できる実行ファイルがございます。ユーザーのみなさまは、管理者権限でアプリケーションを起動するよう指示されます。次に、次のコマンドを順次実行します。privilege::debug と sekurlsa::logonPasswords fullです。すると、コンソールウィンドウに、すべてのアクティブユーザーとそのパスワードの一覧が表示されます。

メモリダンプからキーを抽出するには、PowerShellが必要となります。ターミナルを起動し、Get-Process lsass | Out-Minidumpとご入力ください。システムフォルダ内にDMPファイルが生成されます。これを他のパソコンに移せば、ダンプファイル名を引数としてsekurlsa::minidumpコマンドを実行することができます。その後、sekurlsa::logonPasswordsと入力すると、復号化された鍵にアクセスできるようになります。