Présentation de l’application Mimikatz

Mimikatz est une application très connue du monde des « pen-testers » Windows, car elle permet de réaliser différentes attaques contre l’authentification Windows, et en particulier de faire des attaques « Pass-the-hash ».

Benjamin Delpy, le concepteur et développeur de Mimikatz, est venu présenter son outil à la conférence RéSIST du 17/02/2015 (son support de présentation est ici). Nous profitons de cette occasion pour consacrer un petit article à cet outil.

Mimikatz a été publié en 2007. Cette application est composée d’un programme principal et de modules, ayant pour but d’effectuer des actions sur les systèmes Windows (de XP à Windows 10), l’ensemble étant codé en langage C.

A l’origine cette application a été créée pour comprendre et « jouer » avec les clefs privées, les certificats et faire du « Pass-the-hash » (utiliser le hash d’un mot de passe pour s’authentifier plutôt que le mot de passe lui-même) sur Windows, mais également pour alerter sur les faiblesses des mécanismes d’authentification de Windows.

Les modules permettent entre autres, d’extraire des clés, des certificats, des hashes, des mots de passe, ou permettent l’injection de bibliothèques.

Pour illustrer ces possibilités, Benjamin Delpy a fait plusieurs démonstrations de certains des modules de sécurité, à travers des attaques qui exploitent le processus LSASS (Local Security Authority Subsystem Service : responsable de l'application de la politique de sécurité sur le système) – qui garde dans sa mémoire les mots de passe et d’autres informations comme les hashes – dans le but :

• d’extraire les mots de passe des sessions Windows associées aux services TsPkg, WDigest, LiveSSP (connexion avec un compte Microsoft Live), et SSP,
• d’extraire les hashes et les clés contenus dans le service MSV1_O (package de gestion de l’authentification sur machine locale),
• d’extraire les mots de passe, les clés, les tickets et code pin du service Kerberos (gestion de l’authentification sur réseau).

Il a fait la démonstration qu’il est possible de créer des Golden tickets Kerberos (ce sont des tickets Kerberos TGT - Ticket Granting Ticket - construits à la main, cryptés et signés par le compte de domaine Kerberos "krbtgt", et valables 10 ans...), et des Silver tickets (ce sont des tickets Kerberos TGS -Ticket Granting Service- cryptés et signés par le compte de service). D’autres modules ont enfin été présentés pour dumper la mémoire, pour accéder aux coffres forts de Windows ou « jouer » avec la CryptoAPI de Windows.

Cet outil peut servir à faire du pentest, mais il semble aussi utilisé couramment par des attaquants réels. Il est connu surtout pour ses possibilités de vol d’authentification, mais il s’agit en réalité d’une véritable boite à outils Windows. Il permet par exemple de :

• découvrir les rootkits en mode noyau en listant les hooks placés sur les API Windows (il examine les « détours » mis en place par Microsoft sur ces API),
• lister les authentifications secondaires lancées par des attaquants pour se connecter par différents vecteurs, ou retrouver des empreintes secondaires qui sont normalement cachées par Windows,
• retrouver les clefs privées RSA de chiffrage des disques durs, même si le certificat a été supprimé,
• etc…

Il faut noter que pour utiliser Mimikatz, vous devez :

• avoir un compte sur la machine,
• avoir des droits administrateurs,
• et même pour certaines actions avoir les droits de debug.

De plus, Mimikatz est détecté par certains anti-virus en tant que programme malveillant.

 

Pour plus d’information :

• http://blog.gentilkiwi.com/
• https://github.com/gentilkiwi/mimikatz
• http://connect.ed-diamond.com/MISC/MISC-066/Utilisation-avancee-de-Mimikatz