Mimikatz

Por GoldSparrow em Malware

Traduzir Para:

O Mimikatz é uma ferramenta de hackers que pode dar ao invasor acesso a um computador de destino. O Mimikatz é usado para direcionar vulnerabilidades específicas no sistema operacional Windows. Mimikatz foi criado como uma prova de conceito originalmente para mostrar à Microsoft que seus dispositivos eram vulneráveis a ataques. Infelizmente, seus criadores colocaram uma arma poderosa nas mãos dos criminosos ao criar essa ferramenta de hackers. O Mimikatz é usado há mais de vinte anos para realizar ataques extensivamente. Essas provas de conceito de malware e ferramentas de hackers se tornarem armadas não são algo novo e aconteceu várias vezes. O Mimikatz é atualizado constantemente para que seja importante que os pesquisadores de segurança do PC estejam atualizados sobre os desenvolvimentos dessa ameaça.

Índice

Como os Criminosos Usam o Mimikatz

O Mimikatz é um programa de código aberto que permite que um invasor salve e visualize credenciais de autenticação. O Mimikatz continua a ser desenvolvido para poder executar ataques atualizados nas versões mais recentes do Windows. O Mimikatz é geralmente usado para coletar senhas e obter privilégios em um dispositivo de destino. Como o Mimikatz é tão comum, a maioria dos programas de segurança atualizados detectará e removerá o Mimikatz. O Mimikatz também é usado por especialistas em segurança para testar uma rede ou um dispositivo em busca de vulnerabilidades.

Como o Mimikatz pode ser Instalado em um Computador

A versão original do Mimikatz foi usada para detectar e explorar uma única vulnerabilidade na autenticação do Windows. A versão mais recente do Mimikatz pode explorar várias vulnerabilidades. A seguir, estão algumas das técnicas que o Mimikatz pode usar para coletar credenciais de um dispositivo infectado:

O Mimikatz pode coletar dados de senha armazenados em um hash NTLM. O Mimikatz pode extrair essa sequência de hash sem precisar decifrar a senha, pois o hash pode ser usado como está.
O Mimikatz pode atacar versões mais recentes do Windows coletando dados de senha armazenados na forma de uma construção de ticket. O Mimikatz permite que seu controlador passe um ticket Kerberos para outro dispositivo para efetuar login com o ticket do usuário do computador.
O Mimikatz incluiu versões mais avançadas de coleta e passagem de hash que permitem a representação de outros usuários.
O Mimikatz pode ser usado para visar uma conta oculta chamada KRBTGT, que criptografa outros tickets. Isso permite que o invasor tenha credenciais de administrador de domínio em qualquer computador em uma rede. Essas técnicas de escalonamento de privilégios podem ser usadas para ignorar muitas medidas de segurança em uma rede.
Por fim, o Mimikatz também implementou recursos que podem atingir outros sistemas operacionais, procurando dados salvos e criptografados em dispositivos de computador usando distribuições MacOS, UNIX ou Linux.

O Mimikatz está Disponível Gratuitamente e Possui Aplicativos Legítimos

O Mimikatz está disponível gratuitamente no GitHub. Existem inúmeras opções para fazer o download, e ele pode ser usado de várias maneiras. Não é difícil encontrar tutoriais para ajudar a aprender a usar o Mimikatz. Mimikatz tem usos legítimos e valiosos para testar a segurança de redes e dispositivos e é usado tanto por criminosos que tentam realizar ataques quanto por especialistas em segurança que trabalham para tornar os computadores e as redes mais seguros. O Mimikatz não é uma ameaça de malware com precisão, mas uma ferramenta usada para invadir um computador ou uma rede. Essas ferramentas podem ser usadas para fins educacionais ou como prova de conceito de aplicativos ou como parte de uma campanha de malware para atacar um dispositivo. No entanto, o Mimikatz por si só geralmente não será suficiente para realizar um ataque de malware e seria usado em combinação com outros componentes.

Mimikatz capturas de tela

Relatório de análise

Informação geral

Family Name:	Trojan.Mimikatz
Signature status:	No Signature

Known Samples

MD5: 11ecb568da9cd1ff8d060914e85ff4bf

SHA1: 8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4

SHA256: B2F9055DFD172B1C11BA01C121D3C37F27B3E48827D4562659796F8D4DFD4DF6

Tamanho do Arquivo: 1.19 MB, 1185280 bytes

MD5: 252525c8d6539a3aa97123afc2ddc687

SHA1: 1bf04ed6dc09a32a7861263e4fa24770681d1b4a

SHA256: 6E38131457328C9A93FF10DC0209718E4EFCA909621773301B52E83DBD1469A6

Tamanho do Arquivo: 235.52 KB, 235520 bytes

MD5: fe7c1fb2fc8b5e2f49267f3cee6f8a26

SHA1: 3b1711ba13b32df8d3d84c48a7e8862faaa0975d

SHA256: A14E0BFE9ED712E717EA063AA0D17CC7C5A74866B09CD6B460A795981DBB5EDF

Tamanho do Arquivo: 2.67 MB, 2667008 bytes

MD5: 4cfb8825872b3c4cf3cc550bb4d5410f

SHA1: 0fe546d8c715cab95faeb7710f49e2864b049bf6

SHA256: 80956CF050F27640093FD18D4906215E95DFBB3BAFE44E994B6A0FC825A725FB

Tamanho do Arquivo: 1.97 MB, 1969572 bytes

Windows Portable Executable Attributes

File doesn't have "Rich" header
File doesn't have debug information
File doesn't have exports table
File doesn't have resources
File doesn't have security information
File has exports table
File has TLS information
File is .NET application
File is 32-bit executable
File is 64-bit executable

File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
File is either console or GUI application
File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
File is Native application (NOT .NET application)
File is not packed
IMAGE_FILE_DLL is not set inside PE header (Executable)
IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Nome	Valor
Assembly Version	1.0.0.0
File Description	SharpKatz
File Version	1.0.0.0
Internal Name	SharpKatz.exe
Legal Copyright	Copyright © 2020
Original Filename	SharpKatz.exe
Product Name	SharpKatz
Product Version	1.0.0.0

File Traits

.NET
Agile.net
CreateThread
CryptUnprotectData
dll
Fody
HighEntropy
No Version Info
ntdll
VirtualQueryEx

WriteProcessMemory
x64
x86

Block Information

Similar Families

MSIL.SharpKatz.B
MSIL.SharpKatz.E

Files Modified

File	Attributes
c:\tempz\security	Generic Write
c:\tempz\system	Generic Write
c:\users\user\downloads\__tmp_rar_sfx_access_check_6681109	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\downloads\wmi	Generic Write,Read Attributes
c:\users\user\downloads\wmi	Synchronize,Write Attributes
c:\users\user\downloads\wmi\1.run.bat	Generic Write,Read Attributes
c:\users\user\downloads\wmi\1.run.bat	Synchronize,Write Attributes
c:\users\user\downloads\wmi\2.del.bat	Generic Write,Read Attributes
c:\users\user\downloads\wmi\2.del.bat	Synchronize,Write Attributes
c:\users\user\downloads\wmi\mimi.bat	Generic Write,Read Attributes

c:\users\user\downloads\wmi\mimi.bat	Synchronize,Write Attributes
c:\users\user\downloads\wmi\miparser.vbs	Generic Write,Read Attributes
c:\users\user\downloads\wmi\miparser.vbs	Synchronize,Write Attributes
c:\users\user\downloads\wmi\p	Generic Write,Read Attributes
c:\users\user\downloads\wmi\p	Synchronize,Write Attributes
c:\users\user\downloads\wmi\p\p.exe	Generic Write,Read Attributes
c:\users\user\downloads\wmi\p\p.exe	Synchronize,Write Attributes
c:\users\user\downloads\wmi\p\p64.exe	Generic Write,Read Attributes
c:\users\user\downloads\wmi\p\p64.exe	Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32	Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32	Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimidrv.sys	Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimidrv.sys	Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimikatz.exe	Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimikatz.exe	Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimilib.dll	Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimilib.dll	Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimilove.exe	Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimilove.exe	Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimispool.dll	Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimispool.dll	Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64	Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64	Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64\mimidrv.sys	Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64\mimidrv.sys	Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64\mimikatz.exe	Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64\mimikatz.exe	Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64\mimilib.dll	Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64\mimilib.dll	Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64\mimispool.dll	Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64\mimispool.dll	Synchronize,Write Attributes

Registry Modifications

Key::Value	Dados	API Name
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::proxybypass		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::intranetname		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::uncasintranet		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::autodetect		RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe	纸ꨳ힇ǜ	RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75		RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75		RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc3475	陊ȁ獖}	RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75		RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75		RegNtPreCreateKey

HKCU\software\sysinternals\procdump::eulaaccepted

RegNtPreCreateKey

Windows API Usage

Category	API
Syscall Use	ntdll.dll!NtAccessCheck ntdll.dll!NtAdjustPrivilegesToken ntdll.dll!NtAlertThreadByThreadId ntdll.dll!NtAlpcConnectPortEx ntdll.dll!NtAlpcQueryInformation ntdll.dll!NtAlpcSendWaitReceivePort ntdll.dll!NtApphelpCacheControl ntdll.dll!NtAssociateWaitCompletionPacket ntdll.dll!NtCancelTimer2 ntdll.dll!NtCancelWaitCompletionPacket Show More ntdll.dll!NtClearEvent ntdll.dll!NtClose ntdll.dll!NtCompareSigningLevels ntdll.dll!NtConnectPort ntdll.dll!NtCreateEvent ntdll.dll!NtCreateFile ntdll.dll!NtCreateIoCompletion ntdll.dll!NtCreateMutant ntdll.dll!NtCreatePrivateNamespace ntdll.dll!NtCreateSection ntdll.dll!NtCreateSemaphore ntdll.dll!NtCreateThreadEx ntdll.dll!NtCreateTimer2 ntdll.dll!NtCreateWaitCompletionPacket ntdll.dll!NtCreateWorkerFactory ntdll.dll!NtDeviceIoControlFile ntdll.dll!NtDuplicateObject ntdll.dll!NtDuplicateToken ntdll.dll!NtEnumerateKey ntdll.dll!NtEnumerateValueKey ntdll.dll!NtFreeVirtualMemory ntdll.dll!NtGetCachedSigningLevel ntdll.dll!NtMapViewOfSection ntdll.dll!NtNotifyChangeKey ntdll.dll!NtOpenDirectoryObject ntdll.dll!NtOpenEvent ntdll.dll!NtOpenFile ntdll.dll!NtOpenKey ntdll.dll!NtOpenKeyEx ntdll.dll!NtOpenMutant ntdll.dll!NtOpenProcess ntdll.dll!NtOpenProcessToken ntdll.dll!NtOpenProcessTokenEx ntdll.dll!NtOpenSection ntdll.dll!NtOpenSemaphore ntdll.dll!NtOpenThread ntdll.dll!NtOpenThreadToken ntdll.dll!NtOpenThreadTokenEx ntdll.dll!NtProtectVirtualMemory ntdll.dll!NtQueryAttributesFile ntdll.dll!NtQueryDebugFilterState ntdll.dll!NtQueryDefaultLocale ntdll.dll!NtQueryDirectoryFileEx ntdll.dll!NtQueryFullAttributesFile ntdll.dll!NtQueryInformationFile ntdll.dll!NtQueryInformationJobObject ntdll.dll!NtQueryInformationProcess ntdll.dll!NtQueryInformationThread ntdll.dll!NtQueryInformationToken ntdll.dll!NtQueryKey ntdll.dll!NtQueryLicenseValue ntdll.dll!NtQueryPerformanceCounter ntdll.dll!NtQuerySecurityAttributesToken ntdll.dll!NtQuerySecurityObject ntdll.dll!NtQuerySystemInformation ntdll.dll!NtQuerySystemInformationEx ntdll.dll!NtQueryValueKey ntdll.dll!NtQueryVirtualMemory ntdll.dll!NtQueryVolumeInformationFile ntdll.dll!NtQueryWnfStateData ntdll.dll!NtReadFile ntdll.dll!NtReadRequestData ntdll.dll!NtReleaseMutant ntdll.dll!NtReleaseSemaphore ntdll.dll!NtReleaseWorkerFactoryWorker ntdll.dll!NtRemoveIoCompletionEx ntdll.dll!NtRequestWaitReplyPort ntdll.dll!NtResumeThread ntdll.dll!NtSetEvent ntdll.dll!NtSetInformationFile ntdll.dll!NtSetInformationKey ntdll.dll!NtSetInformationProcess ntdll.dll!NtSetInformationThread ntdll.dll!NtSetInformationVirtualMemory ntdll.dll!NtSetInformationWorkerFactory ntdll.dll!NtSetIoCompletion ntdll.dll!NtSetTimer2 ntdll.dll!NtSubscribeWnfStateChange ntdll.dll!NtTestAlert ntdll.dll!NtTraceControl ntdll.dll!NtUnmapViewOfSection ntdll.dll!NtUnmapViewOfSectionEx ntdll.dll!NtUnsubscribeWnfStateChange ntdll.dll!NtWaitForAlertByThreadId ntdll.dll!NtWaitForMultipleObjects ntdll.dll!NtWaitForSingleObject ntdll.dll!NtWaitForWorkViaWorkerFactory ntdll.dll!NtWaitLowEventPair ntdll.dll!NtWorkerFactoryWorkerReady ntdll.dll!NtWriteFile 4 additional items are not displayed above.
Process Shell Execute	CreateProcess ShellExecuteEx WriteConsole
Anti Debug	IsDebuggerPresent NtQuerySystemInformation
User Data Access	GetComputerNameEx GetUserDefaultLocaleName GetUserObjectInformation
Other Suspicious	AdjustTokenPrivileges
Process Manipulation Evasion	NtUnmapViewOfSection ReadProcessMemory
Keyboard Access	GetKeyState
Process Terminate	TerminateProcess

Shell Command Execution


							C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4_0001185280.,LiQMAxHB


							(NULL) c:\users\user\downloads\wmi\1.run.bat


							WriteConsole: [*] Creating out


							WriteConsole: 'LSASS' is not r


							C:\WINDOWS\system32\mode.com mode  con: cols=75 lines=25


									WriteConsole: Access is denied


									WriteConsole: [*] Saving SYSTE


									C:\WINDOWS\system32\reg.exe reg  save HKLM\SYSTEM "C:\tempz\SYSTEM" /y


									WriteConsole: [*] Saving SAM h


									C:\WINDOWS\system32\reg.exe reg  save HKLM\SAM "C:\tempz\SAM" /y


									WriteConsole: [*] Saving SECUR


									C:\WINDOWS\system32\reg.exe reg  save HKLM\SECURITY "C:\tempz\SECURITY" /y


									WriteConsole: [*] Dumping LSAS


									C:\Users\user\downloads\wmi\P\p.exe "C:\Users\user\downloads\wmi\P\p.exe"  -accepteula -ma lsass.exe "C:\tempz\lsass.dmp"


									WriteConsole: [+] lsass.dmp sa


									WriteConsole:


									WriteConsole: [+] Extraction c


									WriteConsole: Press any key to

O Pedido de Falência da Processadora de Pagamentos Digitais River GmbH do EnigmaSoft não Afeta a Proteção Anti-Malware dos Clientes do SpyHunter

Buscar

Mudar de região

Mimikatz

Como os Criminosos Usam o Mimikatz

Como o Mimikatz pode ser Instalado em um Computador

O Mimikatz está Disponível Gratuitamente e Possui Aplicativos Legítimos

Mimikatz capturas de tela

Relatório de análise

Informação geral

Known Samples

Known Samples

Windows Portable Executable Attributes

Windows Portable Executable Attributes

File Icons

File Icons

Windows PE Version Information

Windows PE Version Information

File Traits

Block Information

Block Information

Similar Families

Similar Families

Files Modified

Files Modified

Registry Modifications

Registry Modifications

Windows API Usage

Windows API Usage

Shell Command Execution

Shell Command Execution

Enviar o Comentário

Tendendo

Searchdims.network

Orionnero.co.in

Pocamish.com

Mais visto

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela

Fuq.com