Mimikatz 由法國研究員 Benjamin Delpy 開發,是 APT 攻擊鏈中最廣泛被濫用的後滲透工具。它能直接從 Windows LSASS 進程中提取明文憑證,是橫向移動的核心武器。
LSASS 記憶體傾印與憑證提取機制
LSASS(Local Security Authority Subsystem Service) 是 Windows 驗證核心,負責儲存已登入使用者的憑證快取。Mimikatz 透過呼叫 SeDebugPrivilege 權限,直接讀取 lsass.exe 的記憶體空間,提取明文密碼、NTLM Hash 及 Kerberos TGT 票券。攻擊者常用兩種方式:一是在目標主機上直接執行 sekurlsa::logonpasswords;二是先用 Task Manager 或 ProcDump 傾印 lsass.dmp,再於離線環境解析,藉此規避 EDR 即時偵測。Windows 8.1 後雖引入 Protected Users 群組與 Credential Guard,但錯誤設定仍留下大量攻擊面。
Pass-the-Hash、Pass-the-Ticket 與 Golden Ticket 攻擊
取得 NTLM Hash 後,Mimikatz 可透過 Pass-the-Hash(PtH) 直接注入 Hash 至新會話,無需明文密碼即可橫向移動至其他主機。更高階的 Pass-the-Ticket(PtT) 攻擊則是竊取 Kerberos TGT,注入至當前登入會話,冒用合法使用者身分存取服務。最具破壞力的是 Golden Ticket 攻擊:攻擊者一旦取得 Domain Controller 的 KRBTGT 帳號 NTLM Hash,即可偽造任意使用者的 TGT,有效期長達 10 年,且不受密碼變更影響。此攻擊完全繞過正常 Kerberos 驗證流程,讓攻擊者在域內持久潛伏。
# 提取記憶體中的憑證
privilege::debug
sekurlsa::logonpasswords
# 偽造 Golden Ticket(需要 KRBTGT Hash)
kerberos::golden /user:Administrator /domain:corp.local /sid:S-1-5-21-... /krbtgt: /ptt
💡 重點整理
- SeDebugPrivilege 是 Mimikatz 運作的必要前提,需本機管理員權限。
- Credential Guard(需 Windows 10 + UEFI)可有效阻擋 sekurlsa 模組。
- Golden Ticket 的根本防禦是定期輪換 KRBTGT 密碼(建議每 180 天兩次)。
- 監控 事件 ID 4624 / 4672 / 4768 異常,可偵測票券偽造行為。
Mimikatz 至今仍是紅隊與 APT 組織的標配工具。理解其攻擊原理,是制定有效防禦策略的第一步。啟用 Credential Guard、落實最小權限原則,並部署行為式 EDR,方能真正降低風險。
📚 參考文獻
- Benjamin Delpy, Mimikatz Official GitHub Repository — github.com/gentilkiwi/mimikatz
- Microsoft, Configuring Additional LSA Protection — learn.microsoft.com
- MITRE ATT&CK,
留言
張貼留言