¿Sabes qué es y cómo funciona Mimikatz? Mimikatz es una herramienta de código abierto desarrollada por Benjamin Delpy que se utiliza para recuperar contraseñas y credenciales de seguridad almacenadas en sistemas operativos Windows. La herramienta es capaz de extraer información de hashes de contraseñas, tickets de autenticación, claves de sesión y otros datos almacenados en la memoria del sistema.
Mimikatz también puede realizar ataques de pass the hash (PtH), lo que significa que puede tomar un hash de contraseña y utilizarlo para autenticarse en otros sistemas sin conocer la contraseña real. Debido a su capacidad para recuperar contraseñas y comprometer sistemas, mimikatx es una herramienta comúnmente utilizada por los hackers y los profesionales de seguridad para evaluar la vulnerabilidad de los sistemas y mejorar las medidas de seguridad.
¿Cómo funciona Mimikatz?
Para entender cómo funciona Mimikatz te enseñaremos los primeros pasos en esta herramienta.
Lo primero que deberás hacer es descargar mimicats . Una vez descargada, la abriremos. El proceso de abrirla es muy simple. Lo primero que haremos es ejecutar dentro el siguiente comando:
lsadump:: sam
, seguido del highline system /system, con la ruta en donde lo tenemos; en este caso es C:\Users \examiner \Desktop \keepcoding \registros \evidencias \SYSTEM y, después, el sam: C:\Users \examiner \Desktop \keepcoding \registros \evidencias \SAM.
Así pues, la ruta completa quedaría como:
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanalsadump:: sam /system C:\Users \examiner \Desktop \keepcoding \registros \evidencias \SYSTEM /sam: C:\Users \examiner \Desktop \keepcoding \registros \evidencias \SAM.
Con esto ya tendríamos completa la ejecución de nuestro programa en el primer paso para aprender cómo funciona Mimikatz. También tendríamos la ruta de donde se encuentran los registros de usuario, para poder acceder así a los registros de Windows y a los ficheros SAM.
Cuando abrimos el programa, tenemos allí guardados los hashes NTML de los usuarios.
Ahora lo que haremos es copiar el NTML que nos aparece; nos vamos, por ejemplo, a CrackStation y copiamos el NTML:
En este caso, no ha encontrado lo que necesitamos, que es la contraseña de usuario.
Si esto llega a ocurrir, la otra opción que tenemos es hacer fuerza bruta sobre las credenciales de este usuario.
Una vez podamos hacer nuestro procedimiento y alguno de los hashes que pongamos funcione, nos aparecerá lo siguiente:
En este caso, la contraseña del usuario IEUser es qwerty. El “mimikatz” tenía almacenado el hash que hemos puesto y por eso ha podido brindarnos la contraseña.
Entonces, así es como funciona Mimikatz. Y te estarás preguntando: ¿para qué nos sirve esto en informática forense? Pues muchas veces nos sirve para demostrar que el usuario tiene una contraseña débil, una contraseña que es fácil de adivinar mediante ataque por diccionario, o para sacar ciertas contraseñas que están almacenadas en Windows. También es útil, por ejemplo, cuando metemos en el navegador cierta contraseña y le decimos que nos guarde el usuario y la contraseña; si alguien tiene la base de datos en la que se incluyen esas contraseñas, nuestras credenciales caerán en vulnerabilidad y serán fáciles de hackear.
CrackStation
Para entender cómo funciona Mimikatz, debemos también entender qué es CrackStation y cómo funciona.
CrackStation es un servicio en línea que proporciona una base de datos de hash de contraseñas para ayudar a los usuarios a recuperar contraseñas olvidadas o perdidas. La base de datos de CrackStation contiene una gran cantidad de hashes de contraseñas previamente descifrados y almacenados en una base de datos de búsqueda rápida. Los usuarios pueden ingresar un hash de contraseña en la base de datos de CrackStation y la herramienta buscará la contraseña correspondiente en texto plano.
Es importante tener en cuenta que CrackStation lo utilizan a menudo los hackers y otros usuarios malintencionados para descifrar contraseñas robadas y comprometer sistemas. Como resultado, el uso de CrackStation en sí mismo no es ilegal, pero el uso indebido de las contraseñas obtenidas a través de la herramienta puede considerarse una violación de la privacidad y la seguridad.
¿Cómo seguir aprendiendo sobre ciberseguridad?
Ya hemos visto qué es y cómo funciona Mimikatz. Si quieres seguir formándote en las distintas ramas de la seguridad informática, accede a nuestro Ciberseguridad Full Stack Bootcamp y verás cómo, en pocos meses, puedes convertirte en todo un profesional IT con la guía constante de profesores expertos en el sector. ¡Pide ahora mismo más información y da el paso que transformará tu carrera profesional!