Mimikatz

Mimikatz trata-se de um programa do Windows para extração de senhas de sistemas dos arquivos de memória ou de hibernação. É necessário aceder à conta do administrador para usar o aplicativo.

Principal propósito

Este recurso usa a vulnerabilidade de segurança intrínseca a qualquer SO Windows atual. Possibilita aos usuários extraírem a senha da RAM e decodificá-la a fim de conseguir a senha.

Seu sistema operacional armazena os dados sensíveis na forma de hashes protegidos. Mesmo instrumentos de decriptação extremamente sofisticados são incapazes de descobrir a senha ao forçar o sistema. Contudo, alguns sistemas Windows, tais como verificações de segurança de autenticação e LSASS necessitam da senha original do usuário com texto simples.

Interceptação da senha

Estão disponíveis arquivos executáveis para ambos os sistemas operacionais de 32 e 64 bits. Os usuários recebem instruções no sentido de iniciar o aplicativo com privilégios de administrador. O passo seguinte é a execução sequencial dos seguintes comandos: privilégio::debug e sekurlsa::logonPasswords full. Na janela do console será apresentada a lista completa de usuários ativos e suas senhas.

PowerShell precisa da chave para extração de um depósito de memória. É possível iniciar o terminal e escrever Get-Process lsass | Out-Minidump. Será criado o arquivo DMP na pasta do sistema. É possível fazer a transferência para outro computador e executar o comando sekurlsa::minidump contendo o nome do arquivo dump a título argumentativo. Depois disso, pode-se digitar sekurlsa::logonPasswords e ter acesso às chaves desencriptadas.