Definition Mimikatz

Was ist Mimikatz?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Mimikatz ist ein frei über GitHub verfügbares Tool zum Auslesen zwischengespeicherter Windows-Anmeldedaten.
Mimikatz ist ein frei über GitHub verfügbares Tool zum Auslesen zwischengespeicherter Windows-Anmeldedaten. (Bild: gemeinfrei / Pixabay)

Mimikatz ist ein Tool, mit dem sich unter Ausnutzung von Schwachstellen zwischengespeicherte Anmeldedaten eines Rechners mit Microsoft Windows Betriebssystem anzeigen lassen. Die Software ist frei verfügbar und kann von GitHub in einer 32-Bit- oder 64-Bit-Version heruntergeladen werden.

Bei Mimikatz handelt sich um ein Tool, mit dem der Entwickler Benjamin Delpy ursprünglich Schwachstellen des Betriebssystems Windows in der Verwaltung zwischengespeicherter Anmeldedaten aufzeigen wollte. Die Software ist frei verfügbar und lässt sich von GitHub in einer 32-Bit- oder 64-Bit-Version herunterladen. Die erste, in C geschriebene, Version stammt bereits aus dem Jahr 2007, die aktuelle Version 2.2.0 stammt aus dem Jahr 2019.

Mithilfe des Tools lassen sich Passwörter im Klartext oder Passwort-Hashes aus dem Speicher eines Windows-Clients auslesen. Auch Login-Daten hoch privilegierter Konten von Domain-Admins, Kerberos-Tickets oder Golden Tickets lassen sich per Mimikatz exportieren, ausfindig machen oder erzeugen. Methoden, die die Software anwendet sind beispielsweise Pass-the-Hash oder Pass-the-Ticket. Genutzt wird die Software von Windows-Administratoren, um die Systeme auf Schwachstellen zu prüfen, von Sicherheitsexperten für Penetrationstests oder von Hackern. Microsoft hat immer wieder die von Mimikatz aufgedeckten Schwachstellen in neueren Windows Versionen geschlossen. Die Software wird jedoch kontinuierlich weiterentwickelt und beherrscht neueste Methoden zur Ermittlung von Login-Daten. Viele Antivirenprogramme erkennen das Tool und verhindern das Speichern oder das Ausführen der Software.

Mitarbeiter im Visier der Penetrationstester

Die fünf Phasen eines Penetrationstests

Mitarbeiter im Visier der Penetrationstester

15.04.19 - IT-Landschaften von Unternehmen werden immer komplexer: Viele vertrauliche und businesskritische Daten befinden sich heute in der Cloud. Um ihre Systeme zu prüfen und Sicherheitslücken aufzuspüren, beauftragen Unternehmen in wachsendem Maße Penetration Tester. Doch was müssen Auftraggeber dabei bedenken, wie gehen Tester nach einem Fünf-Phasen-Modell konkret vor und wie sieht ein realer Test aus? lesen

Die von Mimikatz unterstützen Methoden

Das Tool ist in der Lage, unterschiedliche Windows-Schwachstellen auszunutzen und beherrscht eine Vielzahl verschiedener Methoden, um Login-Daten aus dem Speicher eines Rechners zu extrahieren und anzuzeigen. Eine dieser Methoden ist Pass-the-Hash (PtH). Es handelt sich um ein Verfahren, das nicht das eigentliche Passwort, sondern den Passwort-Hash zur Authentifizierung eines Users verwendet. Das Verfahren nutzt eine Schwachstelle von Windows aus, die auf einem statischen, von Session zu Session immer gleichen Passwort-Hash basiert. Weitere Methoden, die das Tool beherrscht sind:

  • Pass-the-Ticket
  • Over-Pass-the-Hash (Pass-the-Key)
  • Kerberos Golden Ticket
  • Kerberos Silver Ticket
  • Pass-the-Cache

Die notwendigen Schritte zur Nutzung des Tools und einige Beispielbefehle

Zunächst muss Mimikatz in der passenden 32- oder 64-Bit-Version auf dem Windows Rechner ausgeführt werden. Für die meisten Aktionen benötigt die Software Administratorrechte. Nach dem Start des ausführbaren Programms mit Administratorrechten erhält man eine Konsolenanzeige. Dort können im interaktiven Modus Kommandos eingegeben werden, die in Echtzeit ausgeführt werden. Kommandos sind beispielsweise:

  • privilege::debug - zur Anzeige der Berechtigungen
  • log logdatei.log - Aufzeichnung der Ausgaben in der Datei "logdatei.log"
  • sekurlsa::logonpasswords - Ausgabe der im Computerspeicher gefundenen Anmeldedaten im Klartext unter Verwendung des Moduls "sekursla"


Mimikatz in Aktion. (Bild: gentilkiwi / GitHub)

Die verschiedenen Verwendungsmöglichkeiten des Tools

Mimikatz lässt sich für verschiedene Zwecke einsetzen. Häufig wird das Tool für Penetrationstests verwendet, um Sicherheitslücken aufzuzeigen und anschließend zu beseitigen. Auch viele Windows-Administratoren verwenden das Tool. Sie prüfen, ob eventuell Schwachstellen in der Authentifizierung bestehen. Hacker nutzen Mimikatz für das Stehlen von Anmeldedaten und Passwörtern, mit denen sie weiter in die Systeme eindringen. Auch in einigen Ransomware-Würmern werden Mimikatz-Methoden eingesetzt, um die schädliche Software weiter zu verbreiten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist ein Pass-the-Hash-Angriff?

Definition Pass-the-Hash (PtH)

Was ist ein Pass-the-Hash-Angriff?

Pass-the-Hash ist eine Angriffsmethode, die den Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet. Durch Schwachstellen im System oder in den Authentifizierungsprotokollen lässt sich der Hashwert mit Tools auslesen und zur Authentifizierung einsetzen. Nutzbar ist die Angriffsmethode in verschiedenen Betriebs­system­umgebungen wie Windows oder Linux. lesen

Zunahme bei Mac-Malware, bösartigen Office-Dokumenten und Web Application Exploits

WatchGuard Internet Security Report Q1/2019

Zunahme bei Mac-Malware, bösartigen Office-Dokumenten und Web Application Exploits

62 Prozent mehr Malware im Vergleich zum Vorquartal und Cyberkriminelle, die zunehmend verschiedene Angriffstechniken kombinieren – der vierteljährliche Internet Security Report von WatchGuard für das erste Quartal 2019 zeichnet ein klares Bild der aktuellen Bedrohungssituation. lesen

Mitarbeiter im Visier der Penetrationstester

Die fünf Phasen eines Penetrationstests

Mitarbeiter im Visier der Penetrationstester

IT-Landschaften von Unternehmen werden immer komplexer: Viele vertrauliche und businesskritische Daten befinden sich heute in der Cloud. Um ihre Systeme zu prüfen und Sicherheitslücken aufzuspüren, beauftragen Unternehmen in wachsendem Maße Penetration Tester. Doch was müssen Auftraggeber dabei bedenken, wie gehen Tester nach einem Fünf-Phasen-Modell konkret vor und wie sieht ein realer Test aus? lesen

BSI warnt vor Emotet Malware

Gefährliche Schadsoftware

BSI warnt vor Emotet Malware

Gefälschte E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten sind zunehmend ein Mittel zur Verteilung der Schadsoftware Emotet. Diese Malware legt ganze Unternehmensnetzwerke lahm und gilt als eine der gefährlichsten Bedrohungen durch Schadsoftware weltweit. Emotet verursacht auch durch das Nachladen weiterer Schad­programme aktuell auch in Deutschland hohe Schäden. lesen

70 Prozent des Netzwerk-Traffics bleibt unsichtbar

Sophos-Studie Netzwerk-Traffic

70 Prozent des Netzwerk-Traffics bleibt unsichtbar

Organisationen und Unternehmen können einen Großteil ihres Netzwerk-Traffics nicht identifizieren, so das Fazit einer aktuellen Studie, die von Sophos in Auftrag gegeben wurde. Befragt wurden dabei IT-Manager aus den USA, Europa und Asien. lesen

Moderne Sicherheit am Endpoint

Kaspersky Endpoint Security for Business

Moderne Sicherheit am Endpoint

Unternehmen stehen heute Cyberkriminellen gegenüber, Ransomware-Massenangriffe mit fortschrittlichen Exploits, kreative Spam- und Phishing-Kampagnen, sowie gezielte Social-Engineering-Attacken gegen sie einsetzen. Die neue Version von Kaspersky Endpoint Security for Business will hier moderne Erkennungstechniken und mehrschichtigen Schutz entgegensetzen. lesen

Kriminelle lieben Zugangsdaten

Neuer Bericht

Kriminelle lieben Zugangsdaten

Der Sicherheitsanbieter WatchGuard hat seinen neuen Bedrohungsbericht veröffentlicht. Dieser zeigt, dass Kriminelle immer häufiger hinter Zugangsdaten her sind. Firmen sollten sich entsprechend schützen. lesen

Einfache Schadcode-Analyse mit simplen Tools

Malware 101

Einfache Schadcode-Analyse mit simplen Tools

Die Analyse aufgespürter Malware muss nicht aufwendig sein. Kenntnisse im „Reverse Engineering“ und Erfahrung im Umgang mit Malware sind dabei nicht unbedingt nötig. Check Point ist sogar der Meinung, dass Grundkenntnisse eigentlich ausreichen und belegt diese These mit dem folgenden Artikel. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46054097 / Definitionen)