Mimikatz

Selon le rapport 2024 Data Breach Investigation Report de Verizon, les identifiants volés ont été le principal vecteur d’attaque derrière 80 % des violations d’applications web et ont joué un rôle dans 24 % de toutes les actions initiales de violation. Des outils tels que Mimikatz sont devenus essentiels dans cette épidémie de vol d’identifiants.

La violation massive de Snowflake qui a touché 165 organisations et l’incident Change Healthcare qui a affecté 100 millions de clients ont tous deux reposé sur des identifiants volés pour pénétrer les réseaux d’entreprise. Ce qui était au départ un outil de recherche en sécurité servant à valider un concept est devenu l’une des armes les plus largement déployées dans l’arsenal des cybercriminels.

Mimikatz est un outil open source d’extraction d’identifiants qui permet aux utilisateurs de consulter et de collecter les identifiants d’authentification stockés dans la mémoire Windows. L’application est spécialisée dans l’extraction de mots de passe en clair, de hachages de mots de passe, de codes PIN et de tickets Kerberos à partir de systèmes Windows déjà compromis. Sa puissance réside dans l’exploitation des failles fondamentales dans la manière dont Windows gère les données d’authentification en mémoire.

Le chercheur français en sécurité Benjamin Delpy a créé Mimikatz en 2007 comme preuve de concept pour démontrer les vulnérabilités des protocoles d’authentification de Microsoft. Delpy a d’abord contacté Microsoft au sujet de cette faille de sécurité, mais on lui a répondu qu’il faudrait pour cela une machine déjà compromise. Il s’est alors rendu compte que l’outil pouvait être utilisé pour accéder à d’autres machines non compromises d’un réseau à partir d’un seul système compromis. Le nom de l’outil vient de l’argot français signifiant « chats mignons », reflétant ses origines faussement innocentes.

Aujourd’hui, Mimikatz fonctionne comme un outil à double usage, servant à la fois à des fins légitimes de test de sécurité et à des fins malveillantes. Les red teams et les testeurs d’intrusion s’appuient sur cet outil pour évaluer les vulnérabilités des réseaux et simuler des scénarios d’attaque réels. Cependant, les acteurs malveillants, qu’il s’agisse de groupes de ransomware ou d’attaquants nationaux, l’ont adopté comme composant standard de leur boîte à outils pour se déplacer latéralement et escalader les privilèges sur les réseaux d’entreprise.

Mimikatz fonctionne selon un processus systématique en plusieurs étapes qui transforme un seul système compromis en une passerelle permettant d’accéder à l’ensemble du réseau.

• Accès initial et élévation des privilèges : Les attaquants obtiennent d’abord des privilèges administratifs sur le système cible par diverses méthodes telles que le phishing, l’exploitation de vulnérabilités ou l’ingénierie sociale. Mimikatz nécessite des autorisations élevées pour accéder aux emplacements mémoire sensibles où sont stockées les informations d’identification.
• Accès à la mémoire via LSASS : L’outil accède directement au processus LSASS (Local Security Authority Subsystem Service), qui gère l’authentification des utilisateurs et stocke les identifiants dans la mémoire système. LSASS contient les données d’authentification de tous les utilisateurs actuellement connectés et des sessions de connexion récentes.
• Extraction et vidage des identifiants : Mimikatz extrait plusieurs types de données d’authentification de la mémoire, notamment les mots de passe en clair, les hachages de mots de passe NTLM et les tickets d’authentification Kerberos. L’outil peut récupérer les identifiants même des utilisateurs qui ne sont pas actuellement connectés mais qui ont récemment accédé au système.
• Traitement et validation des hachages : Les hachages NTLM extraits sont traités afin de déterminer leur utilité pour l’authentification. Mimikatz peut également cracker les hachages les plus faibles ou les utiliser directement dans les tentatives d’authentification sans avoir besoin du mot de passe d’origine.
• Attaques pass-the-hash : Les pirates utilisent des hachages NTLM volés pour s’authentifier sur d’autres systèmes du réseau sans connaître les mots de passe réels. Les techniques pass-the-hash contournent les contrôles de sécurité traditionnels basés sur les mots de passe en utilisant le hachage lui-même comme jeton d’authentification.
• Exploitation des tickets : L’outil utilise des tickets Kerberos extraits pour usurper l’identité des utilisateurs et accéder aux ressources du réseau. Les tickets dorés et argentés peuvent être falsifiés pour maintenir un accès permanent à l’infrastructure du domaine.
• Déplacement latéral et escalade : Grâce aux informations d’identification récoltées, les pirates se déplacent horizontalement sur le réseau pour accéder à d’autres systèmes et ressources. Chaque nouveau système compromis devient une nouvelle source de collecte d’informations d’identification, créant un effet cascade dans l’environnement de l’entreprise.

L’utilisation de Mimikatz est l’une des méthodes d’attaque par élévation de privilèges les plus courantes. Selon Matthew Gardiner, responsable marketing produit chez Proofpoint, « Mimikatz est un outil largement utilisé qui automatise la récupération des identifiants à partir des terminaux fonctionnant sous Windows. En tant que tel, c’est un outil très efficace pour élever les privilèges au sein d’un système compromis. »

Mimikatz a transcendé ses origines en tant qu’outil de recherche en sécurité pour devenir l’une des armes les plus largement déployées dans l’arsenal des cybercriminels. Les groupes APT (Advanced Persistent Threat) et les opérateurs de ransomware intègrent systématiquement Mimikatz dans leurs chaînes d’attaque pour les activités post-compromission. L’efficacité de cet outil pour extraire des identifiants et permettre des mouvements latéraux en a fait une technique incontournable dans divers environnements de menaces.

Ransomware NotPetya

L’attaque NotPetya représente l’une des démonstrations les plus dévastatrices du potentiel destructeur de Mimikatz lorsqu’il est utilisé à grande échelle. Cette campagne soutenue par l’État russe a combiné une version modifiée de Mimikatz avec l’exploit EternalBlue de la NSA qui avait fuité pour créer une arme auto-propagatrice qui a causé des milliards de dollars de dommages à l’échelle mondiale. NotPetya a utilisé Mimikatz pour voler les identifiants Windows des systèmes compromis, puis a exploité ces identifiants avec des outils Windows légitimes tels que WMIC ou psexec.exe pour se propager latéralement à travers les réseaux.

Le succès de l’attaque reposait sur la capacité de Mimikatz à extraire les identifiants d’administrateur de la mémoire et à exploiter les erreurs de configuration courantes des réseaux. Les organisations utilisant des mots de passe administratifs partagés sur plusieurs terminaux étaient particulièrement vulnérables, car un seul système compromis pouvait fournir les clés de l’ensemble du réseau. La combinaison d’EternalBlue pour l’accès initial et de Mimikatz pour la collecte des identifiants a créé une chaîne d’attaques dévastatrice qui a automatisé la compromission de l’ensemble du réseau.

Campagnes modernes de ransomware

Les opérations contemporaines de ransomware ont standardisé Mimikatz comme composant central de leur boîte à outils post-intrusion. Les principales familles de ransomware, notamment DoppelPaymer, Nefilim, NetWalker, Maze, ProLock, RansomExx et Sodinokibi, ont toutes intégré Mimikatz pour le vol d’identifiants et l’élévation des privilèges. Ces groupes déploient l’outil pendant les phases de reconnaissance afin de récolter des identifiants administratifs pour un accès plus large au réseau et un déploiement plus destructeur de la charge utile.

NetWalker illustre parfaitement l’intégration sophistiquée de Mimikatz grâce à l’utilisation de PowerSploit’s Invoke-Mimikatz pour une exécution sans fichier. Cette approche charge Mimikatz directement dans la mémoire sans écrire de fichiers sur le disque, ce qui rend la détection beaucoup plus difficile. Les identifiants collectés sont ensuite utilisés pour désactiver les outils de sécurité, accéder aux systèmes critiques et déployer des charges utiles de ransomware avec des privilèges élevés dans tout l’environnement de l’entreprise.

Groupes APT (Advanced Persistent Threat)

Les États-nations d’élite et les groupes criminels sophistiqués ont intégré Mimikatz dans leurs manuels opérationnels standard. Des groupes APT notables, notamment APT28 (Fancy Bear), APT29, Lazarus, Turla, Carbanak et FIN6, déploient régulièrement des implémentations personnalisées des techniques Mimikatz. Ces groupes développent souvent leurs propres méthodes pour invoquer les fonctionnalités de Mimikatz afin de contourner les contrôles de sécurité des terminaux et garantir le succès de leurs attaques.

APT29 fait preuve d’une utilisation avancée de Mimikatz à travers plusieurs vecteurs d’attaque, notamment le vidage de mémoire LSASS, les attaques « pass-the-hash » et l’usurpation d’identité par jeton. Le groupe a exploité ces techniques lors de son attaque sophistiquée contre la chaîne d’approvisionnement des agences gouvernementales américaines, utilisant Mimikatz pour escalader les privilèges et maintenir un accès persistant à travers les réseaux compromis. Leur intégration de Mimikatz à d’autres outils légitimes montre comment des adversaires avancés combinent le vol d’identifiants avec des techniques « living-off-the-land ».

Intégration de Cobalt Strike

Le framework Cobalt Strike a amplifié la portée de Mimikatz en intégrant ses fonctionnalités comme des fonctionnalités de base accessibles à des acteurs malveillants moins sophistiqués. La capacité de Cobalt Strike à invoquer Mimikatz directement en mémoire à partir de n’importe quel contexte de processus approprié a permis des attaques sans fichier qui contournent de nombreux contrôles de sécurité traditionnels.

Des groupes criminels tels que Cobalt Group ont construit tout leur modèle opérationnel autour de cette intégration, utilisant les fonctionnalités collaboratives de Cobalt Strike pour coordonner des attaques en plusieurs étapes qui s’appuient fortement sur Mimikatz pour la collecte d’identifiants et les mouvements latéraux. La capacité du framework à exécuter Mimikatz sans écriture sur le disque rend ces attaques particulièrement difficiles à détecter et à contrer efficacement pour les équipes de sécurité.

Mimikatz représente un défi fondamental pour les approches traditionnelles en matière de cybersécurité, car il utilise les fonctionnalités légitimes de Windows contre elles-mêmes. L’outil accède aux mêmes emplacements mémoire et appels API que les processus système légitimes utilisent lors des opérations d’authentification de routine, ce qui rend sa détection extrêmement difficile. Contrairement aux malwares classiques qui exploitent des vulnérabilités spécifiques, Mimikatz utilise des API Windows et des structures mémoire documentées que les outils de sécurité ne peuvent pas simplement bloquer sans perturber les fonctions normales du système.

« À l’aide d’une simple commande PowerShell, les acteurs malveillants peuvent trouver les utilisateurs disposant des autorisations dont ils ont besoin », prévient Tim Nursall, ingénieur commercial chez Proofpoint. « Ajoutez à cela un outil standard tel que Mimikatz, et en quelques secondes, ils peuvent accéder à tous les hachages et à tous les privilèges Active Directory du réseau », ajoute-t-il.

L’impact de cet outil va au-delà du simple vol d’identifiants et compromet la protection offerte par l’authentification multifactorielle (MFA) dans les environnements d’entreprise. Une fois qu’un utilisateur authentifié a terminé la vérification MFA, ses tickets Kerberos restent valides pendant toute la durée de la session, et Mimikatz peut extraire et rejouer ces tickets pour accéder aux ressources réseau sans déclencher d’autres invites MFA. Les attaques par « golden ticket » et « silver ticket » représentent des techniques particulièrement sophistiquées qui exploitent les relations de confiance Active Directory pour falsifier des tickets d’authentification, offrant ainsi un accès permanent qui contourne les réinitialisations de mot de passe et les verrouillages de compte.

La prévalence de Mimikatz dans les chaînes d’attaque modernes souligne les limites critiques des modèles de sécurité basés sur les identifiants et met en évidence le besoin urgent de capacités de détection comportementale. Les approches de sécurité traditionnelles qui s’appuient sur des indicateurs statiques échouent face aux outils qui exploitent les fonctionnalités légitimes du système. Les organisations doivent mettre en œuvre des solutions qui surveillent les schémas anormaux dans l’utilisation des identifiants, les flux d’authentification et les activités d’accès privilégié, tout en adoptant des architectures « zero trust » qui valident en permanence le comportement des utilisateurs plutôt que de se fier uniquement à la réussite de l’authentification initiale.

Une détection efficace de Mimikatz nécessite une approche multicouche qui combine des indicateurs techniques et une analyse comportementale afin d’identifier les activités de collecte d’informations d’identification avant qu’elles ne compromettent l’ensemble du réseau.

• Activité inhabituelle du processus LSASS : Surveillez le service LSASS (Local Security Authority Subsystem Service) pour détecter toute consommation anormale de mémoire, tout pic d’utilisation du processeur ou toute tentative d’accès non autorisée. Les solutions EDR avancées peuvent détecter les modèles de scan de mémoire suspects et les appels à des fonctions telles que NtReadVirtualMemory que Mimikatz utilise pour extraire les identifiants de la mémoire LSASS.
• Exécution PowerShell suspecte : Surveillez les événements de journalisation des blocs de scripts PowerShell (code d’événement 4104) contenant des commandes liées à Mimikatz telles que Invoke-Mimikatz, -dumpcreds, sekurlsa::logonpasswords, sekurlsa::pth ou kerberos::golden. Ces commandes apparaissent souvent dans les attaques sans fichier où la fonctionnalité Mimikatz est chargée directement en mémoire sans écrire de fichiers sur le disque.
• Outils de vidage de mémoire et binaires « living-off-the-land » : Surveillez les outils système légitimes utilisés à mauvais escient pour le vol d’identifiants, notamment procdump.exe, comsvcs.dll, psexec.exe et wmic.exe. Ces outils peuvent vider la mémoire LSASS ou faciliter l’exécution à distance de Mimikatz sur d’autres systèmes du réseau.
• Modèles d’authentification anormaux : Recherchez les activités de connexion inhabituelles telles que les multiples tentatives d’authentification infructueuses, les connexions à partir d’emplacements inconnus ou à des heures inhabituelles, et les connexions successives rapides sur plusieurs systèmes. Les attaques de type « pass-the-hash » et « pass-the-ticket » créent souvent des modèles d’authentification distinctifs qui diffèrent du comportement normal des utilisateurs.
• Indicateurs de processus et de ligne de commande : Analysez les processus en cours d’exécution et les arguments de ligne de commande à la recherche de termes tels que « mimikatz », « gentilkiwi », « delpy » ou de noms de modules spécifiques tels que sekurlsa::tickets et lsadump::sam. Cependant, les pirates sophistiqués renomment souvent les exécutables ou utilisent des implémentations personnalisées pour échapper à la détection basée sur les signatures.
• Anomalies du trafic réseau : Surveillez toute activité SMB inhabituelle, en particulier l’utilisation de SMBv1, les transferts de fichiers inattendus vers des destinations externes ou les volumes importants de données exfiltrées à la suite d’événements d’authentification. Les plateformes XDR modernes peuvent corréler ces comportements réseau avec les activités des terminaux afin d’offrir une visibilité complète sur les attaques.
• Artefacts du système de fichiers : Surveillez la création de fichiers suspects dans les répertoires temporaires, les exécutables inhabituels dans les dossiers système ou la présence de fichiers de vidage de mémoire avec des extensions telles que .dmp ou .tmp. Mimikatz laisse souvent des traces lorsqu’il enregistre des informations d’identification sur le disque ou lorsque les pirates utilisent des fichiers de vidage pour une analyse hors ligne.

Le passage à la détection basée sur le comportement est devenu essentiel, car Mimikatz et d’autres outils similaires exploitent les fonctions légitimes du système plutôt que d’utiliser les signatures traditionnelles des malwares. Les solutions EDR et XDR modernes exploitent des algorithmes d’apprentissage automatique pour établir des comportements de référence et identifier les écarts qui indiquent des activités de vol d’identifiants. Cette approche s’avère plus efficace que la comparaison statique des signatures, car les attaquants modifient fréquemment leurs outils ou utilisent des implémentations personnalisées pour contourner les méthodes de détection traditionnelles.

Pour prévenir les attaques Mimikatz, il faut mettre en place une stratégie de défense multicouche combinant des contrôles techniques, une gestion des accès et des mesures de sécurité axées sur l’humain afin de réduire à la fois la surface d’attaque et l’impact potentiel du vol d’identifiants.

Protection des identifiants

Les environnements Windows modernes offrent plusieurs protections intégrées spécialement conçues pour contrer les outils de collecte d’identifiants tels que Mimikatz. Windows Credential Guard utilise une sécurité basée sur la virtualisation pour isoler les données d’authentification sensibles du système d’exploitation, ce qui rend beaucoup plus difficile pour les attaquants d’extraire les identifiants de la mémoire. La protection LSA (Local Security Authority) empêche tout accès non autorisé au processus LSASS en exigeant un code signé numériquement pour interagir avec les données d’authentification.

Les organisations doivent également désactiver l’authentification WDigest, sauf si elle est absolument nécessaire pour les applications héritées. WDigest stocke les mots de passe en clair dans la mémoire, ce qui en fait une cible facile pour Mimikatz et les outils similaires. La désactivation de ce protocole oblige Windows à recourir à des méthodes d’authentification plus sécurisées qui ne stockent que des identifiants hachés dans la mémoire.

Contrôles d’accès

La mise en œuvre de contrôles d’accès stricts et d’une gestion des privilèges représente la défense la plus efficace à long terme contre les attaques basées sur les identifiants. Les organisations doivent appliquer le principe du moindre privilège en limitant l’accès des administrateurs de domaine au personnel essentiel et à des tâches spécifiques. Des audits réguliers des comptes privilégiés permettent d’identifier les autorisations inutiles et de réduire la surface d’attaque accessible aux outils de vol d’identifiants.

La réutilisation des identifiants entre les systèmes crée des vulnérabilités en cascade qui amplifient l’impact de Mimikatz une fois qu’un attaquant a obtenu un accès initial. Chaque système doit utiliser des mots de passe d’administrateur local uniques, et les comptes privilégiés doivent être segmentés afin d’empêcher les mouvements latéraux entre les segments du réseau. Cette approche permet de contenir les violations potentielles et de limiter la portée des activités de collecte d’identifiants.

Mesures centrées sur l’humain

La formation des utilisateurs reste un élément essentiel de la prévention contre Mimikatz, car cet outil nécessite un accès initial au système pour fonctionner efficacement. Les programmes de sensibilisation à la sécurité doivent mettre l’accent sur la reconnaissance du phishing, des tactiques d’ingénierie sociale et l’importance de signaler les activités suspectes. Les utilisateurs doivent comprendre que les outils de vol d’identifiants tels que Mimikatz font souvent suite à des campagnes de phishing réussies ou à d’autres attaques ciblant les humains.

Les organisations doivent également lutter contre les risques liés aux menaces internes en effectuant des vérifications des antécédents, en surveillant les accès et en mettant en place des politiques de sécurité claires. Les menaces internes représentent une vulnérabilité importante, car les employés malveillants disposent déjà d’un accès légitime au système et peuvent déployer Mimikatz sans déclencher les contrôles de sécurité traditionnels. Des évaluations de sécurité régulières et une surveillance comportementale permettent de détecter les abus potentiels de la part d’employés avant qu’ils ne conduisent à une compromission généralisée des identifiants.

La capacité de Mimikatz à extraire des informations d’identification à partir de processus Windows légitimes et à contourner l’authentification multifactorielle (MFA) grâce à la réutilisation de tickets en fait une menace persistante qui exploite les fondements mêmes des systèmes d’authentification d’entreprise. Pour se défendre efficacement, les organisations doivent aller au-delà de la détection traditionnelle basée sur les signatures et adopter des stratégies globales qui combinent des contrôles techniques tels que Credential Guard et LSA Protection avec une formation solide des utilisateurs et une surveillance comportementale. Comprendre les capacités et les modes d’attaque de Mimikatz permet aux équipes de sécurité de mettre en œuvre des défenses proactives qui traitent à la fois les vulnérabilités techniques et les facteurs humains qui permettent les attaques de vol d’identifiants.

La plateforme complète de cybersécurité de Proofpoint traite les vecteurs d’attaque centrés sur l’humain qui précèdent souvent le déploiement de Mimikatz grâce à une sécurité avancée des emails, la threat intelligence et l’analyse du comportement des utilisateurs. Les solutions de l’entreprise aident les organisations à détecter et à prévenir les méthodes de compromission initiales utilisées par les attaquants pour accéder au système nécessaire aux outils de collecte d’identifiants.

Les capacités de détection des menaces de Proofpoint offrent une visibilité en temps réel sur les activités suspectes et les attaques basées sur les identifiants. Leurs programmes de formation à la sécurité sensibilisent les utilisateurs à reconnaître et à signaler les tactiques d’ingénierie sociale qui permettent généralement les attaques Mimikatz.

En combinant la prévention technique des menaces et la gestion des risques humains, Proofpoint aide les organisations à mettre en place des défenses résilientes contre le paysage en constante évolution du vol d’identifiants. Contactez Proofpoint pour en savoir plus.