Mimikatz es un programa de malware de código abierto utilizado por piratas informáticos y probadores de penetración para recopilar credenciales en computadoras con Windows. Codificado por Benjamin Deply en 2007, mimikatz fue creado originalmente para ser una prueba de concepto para conocer las vulnerabilidades del protocolo de autenticación de Microsoft. Sin embargo, mimikatz se ha convertido desde entonces en una herramienta de piratería popularmente descargada.
Para funcionar completamente, mimikatz requiere un administrador o controles completos del sistema. Un ataque mimikatz utiliza varias técnicas para encontrar información confidencial, como contraseñas de texto sin formato, hash, códigos PIN y tickets de la memoria de un sistema. Las credenciales recopiladas se pueden utilizar para acceder a información no autorizada o realizar ataques de movimiento lateral.
Si bien mimikatz se usa generalmente como una herramienta clandestina y dañina, y la propagación de virus de malware es ilegal en la mayoría de los países, algunos profesionales aún pueden anunciar esto como una habilidad que realizan dentro de la industria de la piratería comercial. Aquí es donde las empresas contratan hackers de sombrero blanco para ayudarles a buscar debilidades en sus propios sistemas de seguridad.
Siempre hay nuevas formas de piratear una computadora usando mimikatz, por lo que las defensas contra ella deben ser adaptables y actualizadas para seguir siendo efectivas. Un ataque de mimikatz es difícil de detectar, pero es posible verificar si una máquina o cuenta está comprometida. Es más fácil ejecutar un ataque mimikatz en un sistema con acceso amplio, porque almacena varias credenciales en un punto de acceso. Por ejemplo, un usuario que ejecuta Windows con un sistema de inicio de sesión único (SSO).
Tipos comunes de ataques de mimikatz
- Robo de contraseñas de texto sin cifrar: las contraseñas se almacenan en las máquinas en un estado predecible y sin cifrar, lo que permite buscarlas en una base de datos.
- Ataque de pasar el hash: un ataque que implica reutilizar las credenciales que están almacenadas en un sistema sin saber realmente qué son, pero persistirlas en una cuenta o parte de un sistema a la que el atacante normalmente no podría acceder.
- Ataque de ticket dorado: un ataque de ticket dorado implica la creación de una autenticación falsa dentro de Kerberos, un protocolo de autenticación que verifica a los usuarios y servidores antes de intercambiar información. La credencial falsa, o ticket dorado, les da a los atacantes acceso para completar cualquier cantidad de cambios no autorizados en las cuentas y grupos del sistema..