Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Was ist Mimikatz: Eine Einführung

3 minute gelesen
Letzte aktualisierung 27. Juni 2023

Mimikatz wurde ursprünglich von Benjamin Delpy entwickelt, um Microsoft zu demonstrieren, dass ihre Authentifizierungsprotokolle durch Angreifer zu überwinden waren. Dabei schuf er unbeabsichtigt eines der am häufigsten genutzten und heruntergeladenen Hacker-Tools der letzten 20 Jahre.

Jake Williams von Rendition Infosec meinte: „Mimikatz hat mehr für die Weiterentwicklung der Sicherheit getan als jedes andere mir bekannte Tool.“ Wenn Sie für den Schutz von Windows-Netzwerken verantwortlich sind, müssen Sie unbedingt über die neuesten Mimikatz-Updates auf dem Laufenden bleiben, um die Techniken zu kennen, mit denen Hacker in Ihre Netzwerke einzudringen versuchen werden – und ihnen einen Schritt voraus zu bleiben.

Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

Was ist Mimikatz?

Mimikatz ist ein Open-Source-Programm, mit dem Benutzer sich Authentifizierungsdaten wie Kerberos-Tickets anzeigen lassen und diese speichern können. Die Weiterentwicklung von Mimikatz wird weiterhin von Benjamin Delpy geleitet. Deshalb funktioniert das Toolset mit allen aktuellen Windows-Releases und enthält die neuesten Angriffe.

Angreifer benutzen Mimikatz üblicherweise, um Anmeldeinformationen zu stehlen und sich erweiterte Berechtigungen zu verschaffen: In den meisten Fällen wird es von Schutzsoftware auf Endgeräten und Antivirus-Systemen entdeckt und gelöscht. Andererseits nutzen Pentester Mimikatz, um Sicherheitslücken in ihren Netzwerken zu entdecken und auszunutzen, damit sie diese schließen können.

mimikatz definition

Was kann Mimikatz leisten?

Mimikatz hat ursprünglich demonstriert, wie eine einzige Sicherheitslücke im Authentifizierungssystem von Windows ausgenutzt werden konnte. Heutzutage weist das Tool unterschiedliche Arten von Sicherheitslücken nach. Mit Mimikatz lassen sich unterschiedliche Techniken zum Sammeln von Anmeldeinformationen ausführen, z. B.:

  • Pass-the-Hash: Windows speicherte früher Passwortdaten in einem NTLM-Hash. Angreifer benutzen Mimikatz, um genau diesen Hash-String für die Anmeldung an den angegriffenen Computer zu übergeben. Die Angreifer müssen das Passwort nicht einmal cracken, sie können einfach den Hash-String in unveränderter Form benutzen. Das ist in etwa dasselbe, wie den Generalschlüssel eines Gebäudes auf dem Boden zu finden. Sie brauchen nur diesen einen Schlüssel, um alle Türen zu öffnen.
  • Pass-the-Ticket: Neuere Windows-Versionen speichern Passwortdaten in einem als Ticket bezeichneten Konstrukt.  Mimikatz bietet einem Nutzer Funktionen, mit denen er ein Kerberos-Ticket an einen anderen Computer übergeben und sich dort mit dem Ticket dieses Benutzers anmelden kann. In jeder anderen Hinsicht entspricht es der Pass-the-Hash-Technik.
  • Over-Pass the Hash (Pass-the-Key): Eine weitere Spielart von Pass-the-Hash, aber bei dieser Technik wird ein einzigartiger Schlüssel übergeben, um sich als ein Benutzer auszugeben, den Sie von einem Domänen-Controller abrufen können.
  • Kerberos Golden Ticket: Hierbei handelt es sich um einen Pass-the-Ticket-Angriff, allerdings mit einem speziellen Ticket für ein verborgenes Konto namens KRBTGT, mit dessen Hilfe alle anderen Tickets verschlüsselt werden. Mit einem goldenen Ticket erhalten Sie Domain-Admin-Berechtigungen auf allen Computern im Netzwerk, die niemals ablaufen.
  • Kerberos Silver Ticket: Eine andere Pass-the-Ticket-Technik, wobei ein silbernes Ticket eine Funktion in Windows ausnutzt, die es Ihnen erleichtert, Dienste im Netzwerk zu nutzen. Kerberos teilt einem Benutzer ein TGS-Ticket zu, mit dem sich der Benutzer bei allen Diensten im Netzwerk anmelden kann. Microsoft überprüft ein TGS nach der Ausgabe nicht immer, weshalb es leicht durch Sicherheitsvorkehrungen geschmuggelt werden kann.
  • Pass-the-Cache: Endlich ein Angriff, der sich nicht Windows zunutze macht! Ein Pass-the-Cache-Angriff ist im Allgemeinen dasselbe wie Pass-the-Ticket, wobei allerdings die gespeicherten und verschlüsselten Anmeldedaten in einem Mac/UNIX/Linux-System verwendet werden.

what can mimikatz do

Quellen zum Herunterladen von Mimikatz

Sie können Mimikatz von Benjamin Delpys GitHub herunterladen – er bietet mehrere Optionen als Download an, vom ausführbaren Programm bis zum Quellcode. Sie müssen es mit Visual Studio 2010 oder einer späteren Version kompilieren.

Wie Sie Mimikatz einsetzen

Wenn Sie Mimikatz mit dem ausführbaren Programm laufen lassen, wird Ihnen eine Mimikatz-Konsole im interaktiven Modus angezeigt, über die Sie Befehle in Echtzeit ausführen können.

Ausführen von Mimikatz als Administrator: Um den kompletten Funktionsumfang von Mimikatz zu erhalten, wählen Sie „Als Admin ausführen“, selbst wenn Sie ein Admin-Konto nutzen.

Überprüfen der Mimikatz-Version

Es gibt zwei Versionen von Mimikatz: 32 bit und 64 bit. Achten Sie darauf, die für Ihre Windows-Installation passende Version auszuführen. Mit dem Befehl „Version“ lassen Sie Mimikatz die Versionsinformationen der ausführbaren Datei und die Windows-Version abrufen, sowie Angaben darüber, ob die korrekte Ausführung von Mimikatz durch Windows-Einstellungen verhindert wird.

Extrahieren von Passwörtern in Klartext aus dem Speicher

Mit dem Mimikatz-Modul sekursla können Sie einen Dump der Passwörter aus dem Speicher durchführen. Um die Befehle im sekursla-Modul nutzen zu dürfen, benötigen Sie Admin- oder SYSTEM-Berechtigungen.

Führen Sie zunächst diesen Befehl aus:

mimikatz # privilege::debug

An der Ausgabe können Sie erkennen, ob Sie die notwendigen Berechtigungen für das weitere Vorgehen haben.

Starten Sie danach die Protokollfunktionen, um Ihre Arbeit später betrachten zu können.

mimikatz # log nameoflog.log

Und zum Schluss geben Sie alle auf diesem Computer gespeicherten Klartext-Passwörter aus.

mimikatz # sekurlsa::logonpasswords

Verwendung anderer Mimikatz-Module

Mit dem crypto-Modul können Sie auf die Crypto-API in Windows zugreifen, mit der Sie Zertifikate und deren private Schlüssel auflisten und exportieren können, selbst wenn sie als nicht exportierbar gekennzeichnet sind.

Das Kerberos-Modul greift auf die Kerberos-API zu, so dass Sie mit dieser Funktionalität spielen können, indem Sie Kerberos-Tickets zu extrahieren und manipulieren.

Mit dem Dienstmodul können Sie Windows-Dienste starten, anhalten, deaktivieren usw.

Und zu guter Letzt: Nach dem Befehl coffee wird die Ascii-Art eines Kaffees ausgegeben. Weil jeder Kaffee braucht.

Und Mimikatz bietet noch viel mehr. Wenn Sie Penetrationstests durchführen wollen oder einfach nur in den Inneren der Windows-Authentifizierung wühlen möchten, finden Sie hier weiterführende Informationen :

Möchten Sie Mimikatz in Aktion erleben und sich informieren, wie Varonis Sie vor Eindringlingen schützt?  Melden Sie sich für unseren an und begleiten unsere Experten bei der Live-Demonstration eines Cyberangriffs in unserem Sicherheitslabor.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?