Mimikatz

Según el Informe de investigación sobre filtraciones de datos de 2024 de Verizon, las credenciales robadas fueron el principal vector de ataque en el 80 % de las filtraciones de aplicaciones web e influyeron en el 24 % de todas las acciones iniciales de filtración. Herramientas como Mimikatz se han convertido en fundamentales para esta epidemia de robo de credenciales.

La masiva filtración de Snowflake, que afectó a 165 organizaciones, y el incidente de Change Healthcare, que afectó a 100 millones de clientes, se basaron en credenciales robadas para penetrar en las redes empresariales. Lo que comenzó como una herramienta de investigación de seguridad de prueba de concepto se ha convertido en una de las armas más utilizadas en el arsenal de los ciberdelincuentes.

Mimikatz es una herramienta de extracción de credenciales de código abierto que permite a los usuarios ver y recopilar las credenciales de autenticación almacenadas en la memoria de Windows. La aplicación se especializa en extraer contraseñas de texto plano, hash de contraseñas, PIN y tickets Kerberos de sistemas Windows que ya han sido comprometidos. Su poder reside en explotar fallos fundamentales en la forma en que Windows maneja los datos de autenticación en la memoria.

El investigador francés en seguridad Benjamin Delpy creó Mimikatz en 2007 como prueba de concepto para demostrar las vulnerabilidades de los protocolos de autenticación de Microsoft. Delpy se puso inicialmente en contacto con Microsoft para informarles del fallo de seguridad, pero le dijeron que este fallo solo afectaría a equipos que ya estuvieran comprometidos. Se dio cuenta de que la herramienta podía utilizarse para acceder a otros equipos no comprometidos de una red desde un único sistema comprometido. El nombre de la herramienta proviene de la jerga francesa para “gatos lindos”, lo que refleja sus orígenes aparentemente inocentes.

Hoy en día, Mimikatz funciona como una herramienta de doble uso, ya que sirve tanto para fines legítimos de pruebas de seguridad como para fines maliciosos. Los equipos rojos y las pruebas de penetración la utilizan para evaluar las vulnerabilidades de la red y simular escenarios de ataque del mundo real. Sin embargo, los actores maliciosos, desde grupos de ransomware hasta atacantes estatales, la han adoptado como un componente estándar en sus kits de herramientas para el movimiento lateral y la escalada de privilegios en las redes empresariales.

Mimikatz opera a través de un proceso sistemático de varias etapas que transforma un único sistema comprometido en una puerta de enlace para el acceso a toda la red.

• Acceso inicial y escalada de privilegios: los atacantes primero obtienen privilegios administrativos en el sistema de destino mediante diversos métodos, como el phishing, la explotación de vulnerabilidades o la ingeniería social. Mimikatz requiere permisos elevados para acceder a ubicaciones de memoria confidenciales donde se almacenan las credenciales.
• Acceso a la memoria a través de LSASS: La herramienta accede directamente al proceso del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS), que gestiona la autenticación de los usuarios y almacena las credenciales en la memoria del sistema. LSASS contiene los datos de autenticación de todos los usuarios que están conectados en ese momento y las sesiones de inicio de sesión recientes.
• Extracción y volcado de credenciales: Mimikatz extrae varios diversos tipos de datos de autenticación de la memoria, incluidas contraseñas de texto sin formato, hash de contraseñas NTLM y tickets de autenticación Kerberos. La herramienta puede recuperar credenciales incluso de usuarios que no están conectados actualmente, pero que han accedido recientemente al sistema.
• Procesamiento y validación de hash: Los hashes NTLM extraídos se someten a un procesamiento para determinar su utilidad para la autenticación. Mimikatz también puede descifrar hashes más débiles o utilizarlos directamente en intentos de autenticación sin necesidad de la contraseña original.
• Ataques Pass-the-hash: Los atacantes utilizan hash NTLM robados para autenticarse en otros sistemas de la red sin conocer las contraseñas reales. Las técnicas de Pass-the-hash eluden los controles de seguridad tradicionales basados en contraseñas al aprovechar el propio hash como token de autenticación.
• Explotación Pass-the-ticket: La herramienta utiliza tickets Kerberos extraídos para suplantar a los usuarios y acceder a los recursos de la red. Se pueden falsificar tickets dorados (“gold”) y plateados (“silver”) para conservar un acceso persistente en toda la infraestructura del dominio.
• Movimiento lateral y escalamiento: Con las credenciales recopiladas, los atacantes se mueven horizontalmente por la red para acceder a otros sistemas y recursos. Cada sistema recién comprometido se convierte en otra fuente para la recopilación de credenciales, lo que crea un efecto en cadena en todo el entorno empresarial.

El uso de Mimikatz es uno de los métodos de ataque de escalada de privilegios más comunes. Según Matthew Gardiner, director de marketing de productos de Proofpoint, “Mimikatz es una herramienta muy utilizada que automatiza la recuperación de credenciales de los terminales que ejecutan Windows. Como tal, es una herramienta muy eficaz para escalamiento de privilegios dentro de un sistema comprometido”.

Mimikatz ha trascendido sus orígenes como herramienta de investigación de seguridad para convertirse en una de las armas más utilizadas en el arsenal de los ciberdelincuentes. Los grupos de amenazas persistentes avanzadas (APT) y los operadores de ransomware integran constantemente Mimikatz en sus cadenas de ataque (Mimikatz attack) para las actividades posteriores al compromiso. La eficacia de la herramienta para extraer credenciales y permitir el movimiento lateral la ha convertido en una técnica fundamental en diversos entornos de amenazas.

Ransomware NotPetya

El ataque NotPetya representa una de las demostraciones más devastadoras del potencial destructivo de Mimikatz cuando se utiliza como arma a gran escala. Esta campaña patrocinada por el Estado ruso, combinó una versión modificada de Mimikatz con el exploit EternalBlue de la NSA que se filtró para crear un arma autopropagante que causó miles de millones de dólares en daños a nivel mundial. NotPetya utilizaba Mimikatz para robar credenciales de Windows de sistemas comprometidos y, a continuación, aprovechaba esas credenciales con herramientas legítimas de Windows como WMIC o psexec.exe para propagarse lateralmente por las redes.

El éxito del ataque se basó en la capacidad de Mimikatz para extraer las credenciales de administrador de la memoria y explotar las configuraciones erróneas comunes de la red. Las organizaciones con contraseñas administrativas compartidas en múltiples puntos finales eran especialmente vulnerables, ya que un solo sistema comprometido podía proporcionar las claves de toda la red. La combinación de EternalBlue para el acceso inicial y Mimikatz para la recopilación de credenciales creó una cadena de ataques devastadora que automatizó el compromiso de toda la red.

Campañas modernas de ransomware

Las operaciones de ransomware contemporáneas han estandarizado Mimikatz como un componente central de su “kit de herramientas” posteriores a la filtración. Las principales familias de ransomware, incluidas DoppelPaymer, Nefilim, NetWalker, Maze, ProLock, RansomExx y Sodinokibi, han incorporado Mimikatz para el volcado de credenciales y la escalada de privilegios. Estos grupos despliegan la herramienta durante las fases de reconocimiento para recopilar credenciales administrativas que les permitan un acceso más amplio a la red y el despliegue de cargas útiles más destructivas.

NetWalker es un ejemplo de integración sofisticada de Mimikatz mediante el uso de Invoke-Mimikatz de PowerSploit para la ejecución sin archivos. Este enfoque carga Mimikatz directamente en la memoria sin escribir archivos en el disco, lo que dificulta considerablemente su detección. Las credenciales recopiladas se utilizan para desactivar las herramientas de seguridad, acceder a sistemas críticos y desplegar cargas útiles de ransomware con privilegios elevados en todo el entorno empresarial.

Grupos de amenazas persistentes avanzadas (APT)

Los estados nacionales de élite y los grupos criminales sofisticados han incorporado Mimikatz a sus manuales operativos estándar. Grupos de APT destacados, como APT28 (Fancy Bear), APT29, Lazarus, Turla, Carbanak y FIN6, despliegan regularmente implementaciones personalizadas de las técnicas de Mimikatz. Estos grupos suelen desarrollar sus propios métodos para invocar la funcionalidad de Mimikatz con el fin de evadir los controles de seguridad de los puntos finales y garantizar el éxito de los ataques.

APT29 demuestra un uso avanzado de Mimikatz a través de múltiples vectores de ataque, incluyendo volcado de memoria LSASS, ataques pass-the-hash y suplantación de tokens. El grupo aprovechó estas técnicas durante su sofisticado ataque a la cadena de suministro contra agencias gubernamentales de EE. UU., utilizando Mimikatz para ampliar privilegios y mantener un acceso persistente en las redes comprometidas. Su integración de Mimikatz con otras herramientas legítimas muestra cómo los adversarios avanzados combinan el robo de credenciales con técnicas de “living-off-the-land”.

Integración con Cobalt Strike

El marco Cobalt Strike ha ampliado el alcance de Mimikatz al incorporar su funcionalidad como características básicas accesibles para actores maliciosos menos sofisticados. La capacidad de Cobalt Strike para invocar Mimikatz directamente en la memoria desde cualquier contexto de proceso apropiado ha permitido ataques sin archivos que eluden muchos controles de seguridad tradicionales.

Grupos criminales como Cobalt Group han construido todo su modelo operativo en torno a esta integración, utilizando las funciones colaborativas de Cobalt Strike para coordinar ataques en varias etapas que dependen en gran medida de Mimikatz para la recopilación de credenciales y el movimiento lateral. La capacidad del marco para ejecutar Mimikatz sin escribir en el disco ha hecho particularmente difícil detectar y responder eficazmente a estos ataques por parte de los equipos de seguridad.

Mimikatz supone un reto fundamental para los enfoques tradicionales de ciberseguridad, ya que utiliza las funciones legítimas de Windows en su contra. La herramienta accede a las mismas ubicaciones de memoria y llamadas a API que utilizan los procesos legítimos del sistema durante las operaciones de autenticación rutinarias, lo que hace que su detección sea extraordinariamente difícil. A diferencia del malware típico, que se basa en la explotación de vulnerabilidades específicas, Mimikatz aprovecha las API y las estructuras de memoria documentadas de Windows, que las herramientas de seguridad no pueden bloquear sin interrumpir las funciones normales del sistema.

“Con un simple comando de PowerShell, los actores maliciosos pueden encontrar usuarios con los permisos que necesitan”, advierte Tim Nursall, ingeniero de ventas de Proofpoint. “Si a esto le añadimos una herramienta comercial como Mimikatz, en cuestión de segundos pueden acceder a todos los hashes y todos los privilegios de Active Directory de la red”, añade.

El impacto de la herramienta va más allá del simple robo de credenciales y socava la protección que brinda la autenticación multifactor (MFA) en entornos empresariales. Una vez que un usuario autenticado completa la verificación MFA, sus tickets Kerberos siguen siendo válidos durante toda la sesión, y Mimikatz puede extraer y reproducir estos tickets para acceder a los recursos de la red sin activar solicitudes MFA adicionales. Los ataques de tickets dorados y plateados representan técnicas especialmente sofisticadas que aprovechan las relaciones de confianza de Active Directory para falsificar tickets de autenticación, lo que proporciona un acceso persistente que elude los restablecimientos de contraseña y los bloqueos de cuentas.

La prevalencia de Mimikatz en las cadenas de ataque modernas subraya las limitaciones críticas de los modelos de seguridad basados en credenciales y pone de relieve la urgente necesidad de contar con capacidades de detección del comportamiento. Los enfoques de seguridad tradicionales que se basan en indicadores estáticos fracasan frente a las herramientas que abusan de la funcionalidad legítima del sistema. Las organizaciones deben implementar soluciones que supervisen los patrones anómalos en el uso de credenciales, los flujos de autenticación y las actividades de acceso privilegiado, al tiempo que adoptan arquitecturas de confianza cero que validan continuamente el comportamiento de los usuarios en lugar de basarse únicamente en el éxito de la autenticación inicial.

La detección eficaz de Mimikatz requiere un enfoque multicapa que combine indicadores técnicos con análisis de comportamiento para identificar las actividades de recopilación de credenciales antes de que comprometan toda la red.

• Actividad inusual del proceso LSASS: Monitorice el Servicio del Subsistema de Autoridad de Seguridad Local (LSASS) para detectar un consumo de memoria anormal, picos de uso de la CPU o intentos de acceso no autorizados. Las soluciones EDR avanzadas pueden detectar patrones sospechosos de escaneo de memoria y llamadas a funciones como NtReadVirtualMemory que Mimikatz utiliza para extraer credenciales de la memoria LSASS.
• Ejecución sospechosa de PowerShell: Esté atento a los eventos de registro de bloqueo de scripts de PowerShell (código de evento 4104) que contengan comandos relacionados con Mimikatz, como Invoke-Mimikatz, -dumpcreds, sekurlsa::logonpasswords, sekurlsa::pth o kerberos::golden. Estos comandos suelen aparecer en ataques sin archivos, en los que la funcionalidad de Mimikatz se carga directamente en la memoria sin escribir archivos en el disco.
• Herramientas de volcado de memoria y binarios que “viven de la tierra” (“live off the land”): Monitoree si se están utilizando indebidamente herramientas legítimas del sistema para el robo de credenciales, como procdump.exe, comsvcs.dll, psexec.exe y wmic.exe. Estas herramientas pueden volcar la memoria LSASS o facilitar la ejecución remota de Mimikatz en otros sistemas de la red.
• Patrones de autenticación anómalos: Busque actividades de inicio de sesión inusuales, como múltiples intentos fallidos de autenticación, inicios de sesión desde ubicaciones desconocidas o a horas intempestivas, e inicios de sesión rápidos y sucesivos en varios sistemas. Los ataques “pass-the-hash” y “pass-the-ticket” suelen crear patrones de autenticación distintivos que difieren del comportamiento normal de los usuarios.
• Indicadores de procesos y líneas de comandos: Escanee los procesos en ejecución y los argumentos de la línea de comandos en busca de términos como “mimikatz”, “gentilkiwi”, “delpy” o nombres de módulos específicos como sekurlsa::tickets y lsadump::sam. Sin embargo, los atacantes sofisticados suelen renombrar los ejecutables o utilizar implementaciones personalizadas para evadir la detección basada en firmas.
• Anomalías en el tráfico de red: Supervise la actividad SMB inusual, especialmente el uso de SMBv1, las transferencias de archivos inesperadas a destinos externos o los grandes volúmenes de datos que se filtran tras los eventos de autenticación. Las plataformas XDR modernas pueden correlacionar estos comportamientos de red con las actividades de los endpoints para proporcionar una visibilidad completa de los ataques.
• Artefactos del sistema de archivos: Esté atento a la creación de archivos sospechosos en directorios temporales, ejecutables inusuales en carpetas del sistema o la presencia de archivos de volcado de memoria con extensiones como .dmp o .tmp. Mimikatz suele dejar rastros cuando guarda credenciales en el disco o cuando los atacantes utilizan archivos de volcado para el análisis sin conexión.

El viraje hacia la detección basada en el comportamiento se ha vuelto crítico porque Mimikatz y herramientas similares explotan funciones legítimas del sistema en lugar de utilizar firmas de malware tradicionales. Las soluciones EDR y XDR modernas aprovechan los algoritmos de aprendizaje automático para establecer comportamientos de referencia e identificar desviaciones que indiquen actividades de robo de credenciales. Este enfoque resulta más eficaz que la comparación de firmas estáticas, ya que los atacantes modifican con frecuencia las herramientas o utilizan implementaciones personalizadas para evadir los métodos de detección tradicionales.

Para prevenir los ataques de Mimikatz se requiere una estrategia de defensa por capas que combine controles técnicos, gestión de accesos y medidas de seguridad centradas en las personas, con el fin de reducir tanto la superficie de ataque como el impacto potencial del robo de credenciales.

Protección de credenciales

Los entornos Windows modernos ofrecen varias protecciones integradas diseñadas específicamente para contrarrestar herramientas de recolección de credenciales como Mimikatz. Windows Credential Guard utiliza seguridad basada en virtualización para aislar los datos de autenticación confidenciales del sistema operativo, lo que dificulta considerablemente a los atacantes la extracción de credenciales de la memoria. La protección de la autoridad de seguridad local (LSA) impide el acceso no autorizado al proceso LSASS al exigir código firmado digitalmente para interactuar con los datos de autenticación.

Las organizaciones también deben desactivar la autenticación WDigest, a menos que sea absolutamente necesaria para aplicaciones heredadas. WDigest almacena contraseñas en texto plano en la memoria, lo que lo convierte en un blanco fácil para Mimikatz y herramientas similares. Al desactivar este protocolo, Windows se ve obligado a utilizar métodos de autenticación más seguros que solo almacenan credenciales con hash en la memoria.

Controles de acceso

La implementación de controles de acceso estrictos y la gestión de privilegios representan la defensa más eficaz a largo plazo contra los ataques basados en credenciales. Las organizaciones deben aplicar los principios de privilegios mínimos, limitando el acceso de administrador de dominio solo al personal esencial y a tareas específicas. Las auditorías periódicas de las cuentas con privilegios ayudan a identificar permisos innecesarios y a reducir la superficie de ataque disponible para las herramientas de robo de credenciales.

La reutilización de credenciales en todos los sistemas crea vulnerabilidades en cascada que amplifican el impacto de Mimikatz una vez que un atacante obtiene el acceso inicial. Cada sistema debe utilizar contraseñas de administrador local únicas, y las cuentas con privilegios deben segmentarse para evitar el movimiento lateral entre segmentos de red. Este enfoque contiene posibles infracciones y limita el alcance de las actividades de recolección de credenciales.

Medidas centradas en las personas

La educación de los usuarios sigue siendo un componente crítico de la prevención de Mimikatz, ya que la herramienta requiere acceso inicial al sistema para funcionar de manera eficaz. Los programas de capacitación para conciencia de seguridad deben hacer hincapié en el reconocimiento del phishing, las tácticas de ingeniería social y la importancia de informar sobre actividades sospechosas. Los usuarios deben comprender que las herramientas de robo de credenciales como Mimikatz suelen seguir a campañas de phishing exitosas u otros ataques dirigidos a personas.

Las organizaciones también deben abordar los riesgos de amenazas internas mediante verificaciones de antecedentes, supervisión del acceso y políticas de seguridad claras. Las amenazas internas representan una vulnerabilidad significativa, ya que los empleados malintencionados ya poseen acceso legítimo al sistema y pueden implementar Mimikatz sin activar los controles de seguridad tradicionales. Las evaluaciones de seguridad periódicas y la supervisión del comportamiento ayudan a detectar el posible uso indebido por parte de empleados internos antes de que provoque un compromiso generalizado de las credenciales.

La capacidad de Mimikatz para extraer credenciales de procesos legítimos de Windows y eludir la MFA mediante la reutilización de tickets lo convierte en una amenaza persistente que explota la base misma de los sistemas de autenticación empresariales. Una defensa eficaz requiere que las organizaciones vayan más allá de la detección tradicional basada en firmas y adopten estrategias integrales que combinen controles técnicos como Credential Guard y LSA Protection con una sólida formación de los usuarios y la supervisión del comportamiento. Comprender las capacidades y los patrones de ataque de Mimikatz permite a los equipos de seguridad implementar defensas proactivas que aborden tanto las vulnerabilidades técnicas como los factores humanos que permiten los ataques de robo de credenciales.

La plataforma integral de ciberseguridad de Proofpoint aborda los vectores de ataque centrados en las personas que suelen preceder al despliegue de Mimikatz mediante seguridad avanzada del correo electrónico, inteligencia de amenazas y análisis del comportamiento de los usuarios. Las soluciones de la empresa ayudan a las organizaciones a detectar y prevenir los métodos de compromiso iniciales que utilizan los atacantes para obtener acceso al sistema necesario para las herramientas de recolección de credenciales. Las prestaciones de detección de amenazas de Proofpoint proporcionan visibilidad en tiempo real de las actividades sospechosas y los ataques basados en credenciales. Sus programas de formación en materia de seguridad enseñan a los usuarios a reconocer y denunciar las tácticas de ingeniería social que suelen permitir los ataques de Mimikatz. Al combinar la prevención técnica de amenazas con la gestión de riesgos humanos, Proofpoint ayuda a las organizaciones a crear defensas resistentes contra el cambiante panorama del robo de credenciales. Póngase en contacto con Proofpoint para obtener más información.