Podríamos decir que mimikatz es una herramienta de post-explotación que nos permite obtener la contraseñas de sistemas operativos Windows en texto plano y emplear otras técnicas como pass-the-hash, pass-the-ticket o construir los llamados Golden tickets.
La herramienta está disponible en GitHub y ha sido desarrollada por "Gentil Kiwi", un investigador y desarrollador de origen francés. Esta herramienta es detectada por muchos antivirus como una amenaza, pero por si sola no supone un peligro.
Características de mimikatz y como nos permite extraer contraseñas en texto plano.
Microsoft siempre ha defendido que las credenciales del sistema operativo nunca se almacenaban en memoria en texto plano, para así evitar posibles vulnerabilidades. Pero esto no es del todo cierto, ya que algunos proveedores de autenticación que vienen activos en Windows por defecto, almacenan en memoria las contraseñas de un modo reversible.
Cuando decimos reversible, no nos referimos a un hash que tenemos que crackear mediante técnicas de fuerza bruta, sino a que podemos recuperar la contraseña en texto plano en cuestión de segundos.
Concretamente son los proveedores de autenticación Tspkg y Wdigest, los que nos permiten ejecutar este tipo de ataques. Ambos están activos por defecto en sistemas operativos Windows. Tspkg está disponible en versiones de Windows Vista y superiores, mientras que Wdigest está disponible a partir de Windows XP.
Lo único que necesitaremos para que mimikatz ejecute con éxito su función, es disponer de privilegios de "Debug" sobre el proceso LSASS. Esto generalmente lo conseguimos con una cuenta con permisos de administrador del sistema.
