В мире информационной безопасности есть вещи, которые вызывают у профессионалов легкий нервный тик и одновременно — почти детское восхищение. Один из таких инструментов — Mimikatz. Этот маленький, но крайне зубастый проект за последние десять лет стал настоящей легендой. Его имя знают и сисадмины, и хакеры, и pentester’ы. Даже если вы далеки от мира кибербезопасности, скорее всего, слышали о нем хотя бы мельком. Давайте разберёмся, что из себя представляет этот инструмент, почему он так эффективен, как работает и что с этим делать тем, кто не хочет лишиться всех паролей разом.

Что такое Mimikatz и почему о нем говорят все

Начнем с главного. Mimikatz — это бесплатная утилита с открытым исходным кодом, созданная французским исследователем Бенжаменом Дельпи (Benjamin Delpy). Изначально проект задумывался как исследовательский — просто чтобы доказать, что пароли в Windows реально извлечь из памяти. Потом Mimikatz превратился в любимую игрушку пентестеров, красных команд и, увы, киберпреступников.

• Программа позволяет вытаскивать пароли, хеши, PIN-коды и Kerberos-токены из памяти процесса lsass.exe — именно там Windows временно хранит учетные данные пользователей.
• Её используют не только для аудита безопасности, но и для настоящих атак — причем нередко в автоматизированных цепочках, когда Mimikatz запускается скриптом после получения доступа к системе.
• Популярность инструмента такова, что имя Mimikatz стало мемом — админы регулярно видят его в отчетах антивирусов и SIEM-систем, а злоумышленники придумывают всё новые методы обхода защит.

История создания: от любопытства до легенды

Официальной датой рождения Mimikatz считается 2011 год. Бенжамену Дельпи просто стало интересно, насколько безопасно Windows хранит пароли, и он решил проверить это на практике. Результат оказался неожиданно удачным: небольшая утилита моментально заинтересовала специалистов по безопасности, а потом и весь остальной мир.

Любопытно, что автор до сих пор развивает проект в одиночку и делится свежими релизами на GitHub. Сам Дельпи неоднократно подчеркивал, что его цель — не облегчить жизнь киберпреступникам, а показать системным администраторам, что "секретов" в Windows почти не осталось.

Как работает Mimikatz: магия в двух командах

Если не углубляться в детали, сценарий классического использования Mimikatz выглядит примерно так:

1. Злоумышленник получает доступ к системе (например, с помощью уязвимости, социальной инженерии или после фишинговой атаки).
2. Запускает Mimikatz с правами администратора или SYSTEM (иначе магии не будет — lsass.exe просто не даст себя тронуть).
3. Выполняет команды вроде privilege::debug и sekurlsa::logonpasswords.
4. Получает на выходе список учетных записей и паролей, в том числе и в чистом виде.

Вот пример самого простого сценария в консоли:

privilege::debug
 sekurlsa::logonpasswords
   

Всё, что осталось — аккуратно скопировать логин/пароль администратора и двигаться дальше по инфраструктуре.

Что умеет Mimikatz, кроме кражи паролей

• Извлечение NTLM-хешей и паролей в чистом виде из памяти процесса lsass.exe
• Работа с Kerberos: извлечение и инъекция тикетов, атаки типа Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash
• Создание и подделка сертификатов (PKI), что позволяет проводить атаки на инфраструктуру предприятия
• Экспорт паролей из Windows Credential Manager
• Получение паролей Wi-Fi, RDP, VNC и других протоколов
• Манипуляции с токенами и процессами безопасности Windows

Можно сказать, что это швейцарский нож для работы с секретами Windows. К слову, за эти возможности Mimikatz не раз попадал в список самых опасных инструментов года по версии аналитиков кибербезопасности.

Классические сценарии применения: как Mimikatz используют в реальных атаках

Если вы думаете, что встретить Mimikatz можно только на “учебных” стендах или CTF-турнирах, увы — реальная жизнь гораздо интереснее. Инструмент использовался (и продолжает использоваться) в атаках на крупные компании, банки, правительственные структуры.

• Атака NotPetya — печально знаменитый шифровальщик использовал модуль на базе Mimikatz для распространения внутри сетей по протоколу SMB.
• Сотни реальных кейсов, когда Mimikatz запускался на компьютерах доменных администраторов и буквально за пару минут позволял злоумышленникам захватить весь домен.
• Red team и pentest-специалисты используют Mimikatz в качестве основной “отмычки” для проверки защищенности инфраструктуры клиентов.

Ирония судьбы: многие обнаруженные атаки начинаются именно с строчки “Detected: mimikatz.exe”, что часто приводит к срочной ночной переписке между ИТ-отделом и службой безопасности.

Практика: пример работы и ключевые команды

Рассмотрим, как это выглядит на практике. Пусть у нас есть доступ к машине с Windows 10. После загрузки и распаковки Mimikatz (важно — современные антивирусы часто “съедают” исполняемый файл, так что лучше собирать его из исходников самостоятельно), открываем командную строку с правами администратора.

privilege::debug
 sekurlsa::logonpasswords
   

На экране появится внушительный список, где вы увидите логины пользователей, их пароли (иногда в открытом виде, иногда — только хеши), а также Kerberos-билеты, сертификаты и прочие “вкусности”.

Популярные команды:

• sekurlsa::logonpasswords — извлекает пароли и хеши из LSASS
• sekurlsa::tickets — выводит Kerberos-билеты
• sekurlsa::pth /user:имя /domain:домен /ntlm:хеш — атака Pass-the-Hash
• kerberos::list — список активных Kerberos-билетов
• token::list — просмотр токенов процесса

Если хочется почувствовать себя настоящим “красным командиром” — попробуйте разные варианты атак, но делайте это только в учебных целях или с разрешения владельца инфраструктуры!

Почему Windows до сих пор уязвима: разбор механики

На первый взгляд кажется, что всё это — чудовищная уязвимость, которую Microsoft должна была “прикрыть” еще десять лет назад. На деле всё сложнее: Windows действительно хранит пароли в памяти (особенно для удобства Single Sign-On и Kerberos), а LSASS — это ключевой компонент системы безопасности. Вырезать его невозможно, а полностью закрыть утечку — тоже не тривиальная задача.

• Появились защиты вроде Credential Guard и Secure Boot — но они работают только на новых версиях Windows и не всегда включены по умолчанию.
• Администраторы до сих пор часто запускают сервисы с “богатыми” правами, что облегчает жизнь злоумышленникам.
• Не все обновления безопасности применяются своевременно, а пароли по-прежнему используются слабые и дублируются между сервисами.

Самый грустный момент — для успешной работы Mimikatz достаточно однажды получить локальные администраторские права. Дальше — дело техники и пары минут времени.

Методы защиты: можно ли победить Mimikatz?

Теперь главное — что делать, если вы хотите спать спокойно и не бояться ночного письма “Detected: mimikatz.exe”?

1. Используйте Credential Guard — это встроенная функция Windows 10/11 и Server 2016+, которая изолирует LSASS в защищенной области памяти. Да, это не панацея, но значительно усложняет жизнь атакующим.
2. Минимизируйте права пользователей — не выдавайте “админа” там, где можно обойтись обычными правами. Не запускайте сервисы и приложения от имени администратора без крайней необходимости.
3. Обновляйте системы своевременно — многие техники работы Mimikatz блокируются патчами Microsoft. Чем “свежее” ваша Windows, тем больше шансов остаться в безопасности.
4. Включайте контроль учетных записей (UAC) и используйте сложные пароли.
5. Мониторьте запуск подозрительных процессов — SIEM-системы, антивирусы и EDR-решения способны засечь характерные поведенческие паттерны Mimikatz.
6. Не храните “золотые” учетные данные на пользовательских машинах — пусть пароли администраторов и сервисов живут на отдельных защищенных компьютерах.

Более подробно об инструментах защиты — на сайте Microsoft: Credential Guard — документация.

Интересные факты и личные размышления

• Автор Mimikatz нередко шутит на конференциях, что не собирался становиться “хакером №1 в мире” — просто хорошо знает C и любит разбираться в архитектуре Windows.
• Разработчики защитных решений (антивирусов, EDR) каждый год публикуют отчеты о “новых версиях” Mimikatz, но суть остается прежней — инструмент живее всех живых.
• В интернете можно найти десятки “форков” и переупакованных версий, которые пытаются обойти защиту через смену сигнатур или обфускацию кода.
• Программу регулярно используют при проведении CTF-соревнований и тренировок по кибербезопасности — это уже почти классика жанра.

От себя добавлю — если вы только начинаете разбираться в безопасности Windows, разбор исходников и эксперименты с Mimikatz — отличный способ прокачать навыки и понять, как устроены “подводные камни” в корпоративной инфраструктуре. Главное — не переусердствуйте на боевых серверах, иначе можно быстро стать звездой внутреннего расследования.

Выводы: Mimikatz — не просто программа, а лакмус для безопасности

История Mimikatz — это не только про уязвимости Windows, но и про вечную дуэль между атакующими и защитниками. Пока одни пытаются закрыть дыры, другие придумывают новые способы их обойти. Для профессионалов по безопасности и системных администраторов этот инструмент — своеобразный индикатор: если в вашей сети легко работает Mimikatz, значит, есть над чем задуматься.

Для всех остальных — это повод еще раз проверить свои привычки: сложные ли у вас пароли, не запускаете ли вы всё подряд с правами “богов” и как часто обновляете систему. Ведь лучший способ защититься от магии Mimikatz — не давать ему шанса сработать.

И, наконец, помните: любой инструмент — это всего лишь инструмент. В чьих руках он окажется — зависит от нас самих.