Mimikatz

Mimikatz est l'outil de post-exploitation Windows de référence, créé par Benjamin Delpy (gentilkiwi) en 2007 initialement comme PoC pour démontrer la facilité d'extraction des credentials en mémoire sous Windows. Il est devenu un véritable couteau suisse utilisé tant par les attaquants (APT, ransomware) que par les pentesters et red teamers.

Fonctionnalités principales : (1) sekurlsa::logonpasswords — dump des credentials en clair depuis LSASS (Wdigest, NTLM, Kerberos, SSP) ; (2) sekurlsa::pth — Pass-the-Hash, créer une session avec un hash NTLM sans connaître le mot de passe ; (3) kerberos::ptt / kerberos::list — injecter et lister des tickets Kerberos ; (4) lsadump::sam — extraire les hashes locaux SAM ; (5) lsadump::dcsync — extraire les hashes via réplication AD ; (6) lsadump::lsa /patch — patch LSASS pour bypasser RunAsPPL ; (7) crypto::certificates — exporter les certificats privés non exportables ; (8) misc::skeleton — Skeleton Key (backdoor LSASS).

Détection : tous les EDR/AV modernes détectent les signatures mimikatz, d'où l'évolution vers des forks (Pypykatz en Python, Invoke-Mimikatz, SharpKatz, Nanodump). Les Event ID 4624 logon type 9 avec NewCredentials, Event 4673 sur SeDebugPrivilege, et l'accès à LSASS par des processus inhabituels sont des IoC clés.

Mitigations : (1) Credential Guard (isole les secrets dans une VM via VBS) ; (2) RunAsPPL pour LSASS ; (3) désactiver Wdigest (déjà désactivé par défaut depuis Windows 8.1) ; (4) Restricted Admin mode pour RDP ; (5) Protected Users group ; (6) tiering Active Directory ; (7) EDR avec détection comportementale (Defender, CrowdStrike, SentinelOne). Le code source mimikatz est sur github.com/gentilkiwi/mimikatz.