Mimikatz adalah program malware sumber terbuka yang digunakan oleh hacker dan penetration tester untuk mengumpulkan kredensial di komputer Windows. Dibuat oleh Benjamin Deply pada tahun 2007, mimikatz awalnya dibuat sebagai bukti konsep untuk mempelajari kerentanannya Microsoft dalam protokol autentikasi. Namun, mimikatz kemudian menjadi alat peretasan yang banyak diunduh.
Untuk berfungsi sepenuhnya, mimikatz memerlukan akses administrator atau kontrol sistem penuh. Serangan mimikatz menggunakan berbagai teknik untuk mencari informasi sensitif seperti kata sandi plaintext, hash, kode PIN, dan tiket dari memori sistem. Kredensial yang dikumpulkan kemudian dapat digunakan untuk mengakses informasi yang tidak sah atau melakukan serangan pergerakan lateral.
Meski mimikatz umumnya digunakan sebagai alat bawah tanah dan berbahaya, serta menyebarkan virus malware ilegal di banyak negara, beberapa profesional masih mengiklankan kemampuan ini sebagai keterampilan dalam industri peretasan komersial. Di sini perusahaan menyewa white hat hacker untuk membantu mereka mencari kelemahan dalam sistem keamanan mereka sendiri.
Ada banyak cara baru untuk meretas komputer menggunakan mimikatz, jadi pertahanan terhadapnya perlu dapat beradaptasi dan diperbarui agar tetap efektif. Serangan mimikatz sulit dideteksi, tetapi ada cara untuk memeriksa apakah mesin atau akun telah dikompromikan. Serangan mimikatz lebih mudah dieksekusi pada sistem dengan akses luas, karena menyimpan beberapa kredensial di satu titik akses. Sebagai contoh, pengguna yang menjalankan Windows dengan sistem Single Sign-On (SSO).
Jenis serangan mimikatz yang umum
- Pencurian kata sandi teks terbuka: Kata sandi disimpan di mesin dalam keadaan yang dapat diprediksi dan tidak terenkripsi, memungkinkan kata sandi tersebut dicari dalam basis data.
- Serangan pass-the-hash: Serangan yang melibatkan penggunaan kembali kredensial yang disimpan dalam sistem tanpa mengetahui apa isinya, tetapi mempertahankannya untuk akun atau bagian sistem yang biasanya tidak dapat diakses oleh penyerang.
- Serangan golden ticket: Serangan golden ticket melibatkan pembuatan autentikasi palsu dalam Kerberos, protokol autentikasi yang memverifikasi pengguna dan server sebelum pertukaran informasi. Kredensial palsu, atau golden ticket, memberikan akses kepada penyerang untuk melakukan perubahan tidak sah pada akun dan grup sistem.