Mimikatz - afficher les logs
Cet exercice a été réalisé sur une machine windows dans une VM.
La 1ère étape montre comment installer mimikatz sous windows pour réaliser les tests
La 2ème étape montre comment afficher les logs générés par mimikatz.
1) Installation de mimikatz sous Windows
Depuis votre machine hôte, aller dans release et prend mimikatz_trunk (pas les source code)
Lien : https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20210512
–
2) Activer un dossier partagé sur votre VM et y déposer le dossier mimikatz_trunk
3) Dans votre VM, exécuter mimikatz x64 en tant qu‘administrateur
4) Configurer mimikatz avec le privilège debug et dumper les hashs avec sekurlsa
Attention : il faut écrire sekurlsa avec un k
Remarques : Pour activer le privilège debug, il faut avoir exécuter mimikatz en tant qu’administrateur lors du point précédent
5) Résultat :
Voici une partie des résultats obtenus
Activer les logs sur mimikatz
1) Mettre secpol.msc dans la barre de recherche et le lancer
2) Aller dans Advanced Audit Policy, sous Object Access, cliquer sur Audit kernel Object
3) Cocher success
4) Exécuter à nouveau mimikatz en tant qu’administrateur, remettez le privilège debug et lancer sekurlsa afin de générer des logs.
5) Aller dans l’event viewer, éventuellement faites un refresh.
6) Toujours dans l’event viewer, aller sur les événements avec la catégorie Kernel Object
6) Sélectionner et afficher
- Ici on peut voir que le log indique également sous Process Name le nom de l’exécutable, ici mimikatz.exe
- On peut également voir le nom de l’objet Lsass.exe
Désavantage
-En activant les logs sur les kernels objects, Il y a aussi des logs générés lorsqu’on se connecte normalement à la session….
Sources
- Cours SOS enseigné à l’HEIG-VD en 2021