Mimikatz (4/4) : matrice de

test de fonctionnement
(v1.13)
Tutorial conu et rdig par Michel de CREVOISIER - octobre 2014

ARTICLES ASSOCIES

1. Mimikatz : prsentation, fonctionnement, contre-mesures et processus LSASS (lien)

2. Mimikatz : extraction de mots de passe partir dun dump du processus LSASS (lien)
3. Mimikatz : rcupration de mots de passe via Metasploit et Meterpreter (lien)
4. Mimikatz : matrice de tests de fonctionnement en environnement Windows (lien)

Prambule
Dans un article prcdent, nous prsentions le logiciel Mimikatz ainsi que son module sekurlsa
capable de rcuprer les mots de passe Windows en mmoire. Cependant, et comme le
dmontreront les tests raliss la suite, les conditions requises pour russir cet exploit varient selon
la configuration et les systmes de scurit du systme dexploitation.
Lobjectif de cet article est donc de mettre en lumire les diffrents modes opratoires employs par
les hackers afin de renforcer la ncessit de mise en uvre de moyens de protection adquats. Cest
pourquoi nous tudierons la suite les conditions de russite ncessaires la ralisation de ces 3
attaques bases sur Mimikatz :
Attaque 1 : Mimikatz
Attaque 2 : Dump local ou distance du processus LSASS
Attaque 3 : Excution dun shellcode local ou distance via Metasploit et Meterpreter

INDEX
Prambule ........................................................................................................................................................... 2
INDEX................................................................................................................................................................... 3
1.

2.

3.

4.

Environnement de test ............................................................................................................................... 4

1.1

Configuration du systme ................................................................................................................... 4

1.2

Configuration de lUAC ........................................................................................................................ 4

1.3

Configuration du privilge debug .................................................................................................. 4

1.4

Contexte dexcution de lapplication................................................................................................. 5

Attaque n1 : Mimikatz ............................................................................................................................... 6

2.1

Contexte .............................................................................................................................................. 6

2.2

Rsultats des tests ............................................................................................................................... 6

2.3

Analyse des rsultats ........................................................................................................................... 6

Attaque n2 : Dump du processus LSASS ............................................................................................. 7

3.1

Contexte .............................................................................................................................................. 7

3.2

Rsultats des tests ............................................................................................................................... 7

3.3

Analyse des rsultats ........................................................................................................................... 8

Attaque n3 : Meterpreter.......................................................................................................................... 9
4.1

Contexte .............................................................................................................................................. 9

4.2

Rsultats des tests ............................................................................................................................... 9

4.3

Analyse des rsultats ......................................................................................................................... 10

Conclusion ......................................................................................................................................................... 11

1. Environnement de test
1.1 Configuration du systme
Lenvironnement suivant a t utilis pour mener bien les tests :
Systme dexploitation Windows 7 x64 SP1 avec les correctifs de septembre 2014
Configuration du pare-feu par dfaut (filtrage en entre uniquement) et activation du
Partage de fichiers et dimprimantes
Dsactivation de lantivirus Windows Defender pour viter les faux-positifs
Activation de la DEP ( Data Execution Prevention ) pour tous les programmes et services
Utilisation dun compte avec des privilges dadministration pour lensemble des tests,
laissant supposer que les identifiants appartiennent :
o Un utilisateur (local ou du domaine) disposant des droits administrateurs sur son poste
o Un administrateur systme disposant des accs un serveur (ex : contrleur de
domaine, serveur Remote Desktop Service , serveur de base de donnes, )
o Un attaquant ayant russi rcuprer un identifiant (local ou du domaine) dun
utilisateur

1.2 Configuration de lUAC

Selon les environnements de test, lUAC ( User Account Control ) a t activ ou dsactiv. Notez
quil est ncessaire de redmarrer le systme pour prendre en compte sa dsactivation.

1.3 Configuration du privilge debug

Selon les environnements de test, le privilge debug attribu au groupe local Administrateurs
a t supprim ou maintenu. Pour information ce privilge permet daider un dveloppeur
dbugger un processus (source). Il peut tre dsactiv par GPO partir du chemin suivant :
Configuration ordinateur > Paramtres Windows > Paramtres de scurit > Stratgies locales >
Attribution des droits utilisateurs

1.4 Contexte dexcution de lapplication

Lexcution des applications (Mimikatz ou shellcode ) prsentes la suite a t ralise par :
o Un simple double-clic sur lexcutable
o Un clic droit puis Excuter en tant quadministrateur :

o Un compte system via le logiciel PSexec et loption [-s] :

2. Attaque n1 : Mimikatz
2.1 Contexte
Cette attaque savre dune simplicit enfantine. Il suffit en effet de tlcharger lapplication
Mimikatz sur le site officiel et dexcuter le module sekurlsa sur un poste pour rcuprer les mots
de passe contenus en mmoire du processus LSASS.

2.2 Rsultats des tests

2.3 Analyse des rsultats

En excutant lapplication Mimikatz avec le privilge system , les restrictions dfinies par
le mode debug sont outrepasses et les mots de passe en mmoire rcuprs
En excutant lapplication Mimikatz en tant quadministrateur local mais sans le privilge
debug , il est impossible de rcuprer les mots de passe en mmoire

Lactivation de lUAC permet de limiter laccs aux droits dadministrateur par lapplication
Mimikatz uniquement si elle nest pas excute via laction : clic droit > Excuter en tant
quadministrateur

3. Attaque n2 : Dump du processus LSASS

3.1 Contexte
Pour cette attaque il suffit de raliser un dump du processus LSASS et de lanalyser via le module
minidump de Mimikatz. La capture du dump peut seffectuer de deux faons :
Localement via le logiciel Procdump
A distance en excutant le logiciel Procdump via loutil PSexec
Un article dtaillant la dmarche adopter pour lutilisation de ces deux mthodes est disponible ici.

3.2 Rsultats des tests

3.3 Analyse des rsultats

En excutant lapplication Procdump avec le privilge system , les restrictions dfinies par
le mode debug sont outrepasses et le dump du processus LSASS effectu
En excutant lapplication Procdump en tant quadministrateur local mais sans le privilge
debug , il est impossible de raliser un dump du processus LSASS

LUAC empche lutilisation du logiciel PSexec uniquement sil est utilis avec un compte local
membre du groupe Administrateurs de la machine cible. Sil est utilis avec un compte du
domaine plac dans le groupe Administrateurs de la machine cible, alors lUAC sera
outrepass et PSexec excut

4. Attaque n3 : Meterpreter
4.1 Contexte
Pour mener bien cette attaque, lattaquant doit prparer un shellcode (ou programme de
contrle distance) qui devra tre excut sur le poste de la victime. Pour excuter ledit programme,
lattaquant dispose de deux techniques :
La premire, dite locale, consiste faire excuter le shellcode par la victime
La seconde, dite distante, consiste excuter le shellcode via loutil PSexec
Un article dtaillant la dmarche adopter pour lutilisation de ces deux mthodes est disponible ici.

4.2 Rsultats des tests

4.3 Analyse des rsultats

Lactivation de lUAC permet de limiter laccs au compte system par lattaquant

uniquement si le shellcode nest pas excut via laction : clic droit > Excuter en tant
quadministrateur

Lattaquant doit obligatoirement migrer le processus associ au shellcode vers un

processus excut par un compte system (AUTORITE NT\Systeme)
LUAC empche lutilisation du logiciel PSexec uniquement sil est utilis avec un compte local
membre du groupe Administrateurs de la machine cible. Sil est utilis avec un compte du
domaine plac dans le groupe Administrateurs de la machine cible, alors lUAC sera
outrepass et PSexec excut

10

Conclusion
Cette prsentation des modes dutilisation de Mimikatz a permis didentifier les diffrents scnarii
dattaques utiliss par les hackers. Grce aux matrices de tests, nous avons pu constater que la
dsactivation de lUAC et que lajout dun compte de domaine au sein du groupe Administrateurs
ne faisait que dgrader le niveau de scurit du systme.
Sous cet angle, il revient aux DSI de mettre en uvre les moyens ncessaires afin de se protger
contre cette menace. La mise en place dun SIEM, une sensibilisation des quipes techniques ainsi
quun durcissement des systmes dexploitation (prsents dans cet article) constituent un premier
pas dans la lutte contre ce type de menace.

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :

m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en dores et dj remerci

11