Suchen

Definition Mimikatz Was ist Mimikatz?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Mimikatz ist ein Tool, mit dem sich unter Ausnutzung von Schwachstellen zwischengespeicherte Anmeldedaten eines Rechners mit Microsoft Windows Betriebssystem anzeigen lassen. Die Software ist frei verfügbar und kann von GitHub in einer 32-Bit- oder 64-Bit-Version heruntergeladen werden.

Firmen zum Thema

Mimikatz ist ein frei über GitHub verfügbares Tool zum Auslesen zwischengespeicherter Windows-Anmeldedaten.
Mimikatz ist ein frei über GitHub verfügbares Tool zum Auslesen zwischengespeicherter Windows-Anmeldedaten.
(Bild: gemeinfrei / Pixabay )

Bei Mimikatz handelt sich um ein Tool, mit dem der Entwickler Benjamin Delpy ursprünglich Schwachstellen des Betriebssystems Windows in der Verwaltung zwischengespeicherter Anmeldedaten aufzeigen wollte. Die Software ist frei verfügbar und lässt sich von GitHub in einer 32-Bit- oder 64-Bit-Version herunterladen. Die erste, in C geschriebene, Version stammt bereits aus dem Jahr 2007, die aktuelle Version 2.2.0 stammt aus dem Jahr 2019.

Mithilfe des Tools lassen sich Passwörter im Klartext oder Passwort-Hashes aus dem Speicher eines Windows-Clients auslesen. Auch Login-Daten hoch privilegierter Konten von Domain-Admins, Kerberos-Tickets oder Golden Tickets lassen sich per Mimikatz exportieren, ausfindig machen oder erzeugen. Methoden, die die Software anwendet sind beispielsweise Pass-the-Hash oder Pass-the-Ticket. Genutzt wird die Software von Windows-Administratoren, um die Systeme auf Schwachstellen zu prüfen, von Sicherheitsexperten für Penetrationstests oder von Hackern. Microsoft hat immer wieder die von Mimikatz aufgedeckten Schwachstellen in neueren Windows Versionen geschlossen. Die Software wird jedoch kontinuierlich weiterentwickelt und beherrscht neueste Methoden zur Ermittlung von Login-Daten. Viele Antivirenprogramme erkennen das Tool und verhindern das Speichern oder das Ausführen der Software.

Die von Mimikatz unterstützen Methoden

Das Tool ist in der Lage, unterschiedliche Windows-Schwachstellen auszunutzen und beherrscht eine Vielzahl verschiedener Methoden, um Login-Daten aus dem Speicher eines Rechners zu extrahieren und anzuzeigen. Eine dieser Methoden ist Pass-the-Hash (PtH). Es handelt sich um ein Verfahren, das nicht das eigentliche Passwort, sondern den Passwort-Hash zur Authentifizierung eines Users verwendet. Das Verfahren nutzt eine Schwachstelle von Windows aus, die auf einem statischen, von Session zu Session immer gleichen Passwort-Hash basiert. Weitere Methoden, die das Tool beherrscht sind:

  • Pass-the-Ticket
  • Over-Pass-the-Hash (Pass-the-Key)
  • Kerberos Golden Ticket
  • Kerberos Silver Ticket
  • Pass-the-Cache

Die notwendigen Schritte zur Nutzung des Tools und einige Beispielbefehle

Zunächst muss Mimikatz in der passenden 32- oder 64-Bit-Version auf dem Windows Rechner ausgeführt werden. Für die meisten Aktionen benötigt die Software Administratorrechte. Nach dem Start des ausführbaren Programms mit Administratorrechten erhält man eine Konsolenanzeige. Dort können im interaktiven Modus Kommandos eingegeben werden, die in Echtzeit ausgeführt werden. Kommandos sind beispielsweise:

  • privilege::debug - zur Anzeige der Berechtigungen
  • log logdatei.log - Aufzeichnung der Ausgaben in der Datei "logdatei.log"
  • sekurlsa::logonpasswords - Ausgabe der im Computerspeicher gefundenen Anmeldedaten im Klartext unter Verwendung des Moduls "sekursla"


Mimikatz in Aktion. (Bild: gentilkiwi / GitHub)

Die verschiedenen Verwendungsmöglichkeiten des Tools

Mimikatz lässt sich für verschiedene Zwecke einsetzen. Häufig wird das Tool für Penetrationstests verwendet, um Sicherheitslücken aufzuzeigen und anschließend zu beseitigen. Auch viele Windows-Administratoren verwenden das Tool. Sie prüfen, ob eventuell Schwachstellen in der Authentifizierung bestehen. Hacker nutzen Mimikatz für das Stehlen von Anmeldedaten und Passwörtern, mit denen sie weiter in die Systeme eindringen. Auch in einigen Ransomware-Würmern werden Mimikatz-Methoden eingesetzt, um die schädliche Software weiter zu verbreiten.

(ID:46054097)

Über den Autor