跳到主要內容

Mimikatz 深度解析:從 LSASS 記憶體傾印到 Golden Ticket 攻擊的 APT 橫向移動實戰指南

Mimikatz 由法國研究員 Benjamin Delpy 開發,是 APT 攻擊鏈中最廣泛被濫用的後滲透工具。它能直接從 Windows LSASS 進程中提取明文憑證,是橫向移動的核心武器。

LSASS 記憶體傾印與憑證提取機制

LSASS(Local Security Authority Subsystem Service) 是 Windows 驗證核心,負責儲存已登入使用者的憑證快取。Mimikatz 透過呼叫 SeDebugPrivilege 權限,直接讀取 lsass.exe 的記憶體空間,提取明文密碼、NTLM Hash 及 Kerberos TGT 票券。攻擊者常用兩種方式:一是在目標主機上直接執行 sekurlsa::logonpasswords;二是先用 Task Manager 或 ProcDump 傾印 lsass.dmp,再於離線環境解析,藉此規避 EDR 即時偵測。Windows 8.1 後雖引入 Protected Users 群組與 Credential Guard,但錯誤設定仍留下大量攻擊面。

Pass-the-Hash、Pass-the-Ticket 與 Golden Ticket 攻擊

取得 NTLM Hash 後,Mimikatz 可透過 Pass-the-Hash(PtH) 直接注入 Hash 至新會話,無需明文密碼即可橫向移動至其他主機。更高階的 Pass-the-Ticket(PtT) 攻擊則是竊取 Kerberos TGT,注入至當前登入會話,冒用合法使用者身分存取服務。最具破壞力的是 Golden Ticket 攻擊:攻擊者一旦取得 Domain Controller 的 KRBTGT 帳號 NTLM Hash,即可偽造任意使用者的 TGT,有效期長達 10 年,且不受密碼變更影響。此攻擊完全繞過正常 Kerberos 驗證流程,讓攻擊者在域內持久潛伏。

# 提取記憶體中的憑證
privilege::debug
sekurlsa::logonpasswords

# 偽造 Golden Ticket(需要 KRBTGT Hash)
kerberos::golden /user:Administrator /domain:corp.local /sid:S-1-5-21-... /krbtgt: /ptt

💡 重點整理

  • SeDebugPrivilege 是 Mimikatz 運作的必要前提,需本機管理員權限。
  • Credential Guard(需 Windows 10 + UEFI)可有效阻擋 sekurlsa 模組。
  • Golden Ticket 的根本防禦是定期輪換 KRBTGT 密碼(建議每 180 天兩次)。
  • 監控 事件 ID 4624 / 4672 / 4768 異常,可偵測票券偽造行為。

Mimikatz 至今仍是紅隊與 APT 組織的標配工具。理解其攻擊原理,是制定有效防禦策略的第一步。啟用 Credential Guard、落實最小權限原則,並部署行為式 EDR,方能真正降低風險。

📚 參考文獻

  1. Benjamin Delpy, Mimikatz Official GitHub Repositorygithub.com/gentilkiwi/mimikatz
  2. Microsoft, Configuring Additional LSA Protectionlearn.microsoft.com
  3. MITRE ATT&CK,

留言