mimikatzの検証

攻撃者が侵入先でパスワードを取得する際に多用されているツール。

標的型攻撃で使われている印象だったけど、最近流行りのマルウェアGoldenEye(別名 Not petya)がmimikatzを利用して横感染すると聞き、検証してみた。

ダウンロード先はココ

https://github.com/gentilkiwi/mimikatz/releases

zip内のexeを管理者権限で実行し、

#privilege::debug

#sekurlsa::logonpasswords

簡単。

マスキングしているけど、上記画像のpassword部分に表示されている。

ただ、アンチウイルスに検知される。

調べると、アカウント管理のプロセスをダンプして、そのデータから抽出する方法等がある様子。

GoldenEyeは、C&Cを用意する必要がなかったため、アンチウイルス回避として、改編したmimikatzを感染先で使用する必要があったと推測できる。

次はアンチウイルス回避を検証したい。