Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI Beveiligingsportfolio
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    Identity Security
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      Digitale forensica, IRR en paraatheid bij inbreuken.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat is Mimikatz?
Cybersecurity 101/Threat Intelligence/Mimische plaat

Wat is Mimikatz?

Mimikatz is een krachtig hulpmiddel dat wordt gebruikt voor het stelen van inloggegevens. Ontdek hoe het werkt en verken strategieën om je tegen het gebruik ervan te verdedigen.

CS-101_Threat_Intel.svg
Inhoud

Gerelateerde Artikelen

  • Wat is fileless malware? Hoe kunt u deze detecteren en voorkomen?
  • Wat is een Advanced Persistent Threat (APT)?
  • Wat is spear phishing? Soorten en voorbeelden
  • Wat is cyberdreigingsinformatie?
Auteur: SentinelOne
Bijgewerkt: June 25, 2021

Mimikatz is een krachtige tool die wordt gebruikt voor het extraheren van inloggegevens uit Windows-systemen. In deze gids wordt uitgelegd hoe Mimikatz werkt, wat de mogelijkheden ervan zijn en welke risico's het voor organisaties met zich meebrengt.

Lees meer over strategieën voor het detecteren en voorkomen van Mimikatz-aanvallen. Inzicht in Mimikatz is essentieel voor organisaties om hun systemen te beschermen tegen diefstal van inloggegevens. In dit bericht bekijken we wat Mimikatz is, hoe het wordt gebruikt, waarom het nog steeds werkt en hoe u eindpunten er succesvol tegen kunt beschermen.

Wat is Mimikatz?

Mimikatz is een tool die vaak wordt gebruikt door hackers en beveiligingsprofessionals om gevoelige informatie, zoals wachtwoorden en inloggegevens, uit het geheugen van een systeem te halen. Het wordt doorgaans gebruikt om ongeoorloofde toegang te verkrijgen tot netwerken, systemen of applicaties of om andere kwaadaardige activiteiten uit te voeren, zoals privilege-escalatie of laterale bewegingen binnen een netwerk.

Mimikatz kan op verschillende manieren worden gebruikt, afhankelijk van de doelen en doelstellingen van de aanvaller. Het kan bijvoorbeeld worden gebruikt om:

  1. Wachtwoorden en inloggegevens uit het geheugen van het systeem te halen, waardoor de aanvaller toegang krijgt tot netwerken, systemen of applicaties.
  2. Authenticatiemechanismen, zoals multi-factor authenticatie, te omzeilen door gestolen inloggegevens te stelen en te gebruiken.
  3. Privileges op een systeem escaleren, waardoor de aanvaller toegang krijgt tot gevoelige gegevens of andere kwaadaardige acties kan uitvoeren.
  4. Zich lateraal binnen een netwerk verplaatsen, waardoor de aanvaller toegang krijgt tot andere systemen of netwerken.

Over het algemeen is Mimikatz een krachtig hulpmiddel dat aanvallers kunnen gebruiken om ongeoorloofde toegang te krijgen tot netwerken, systemen en applicaties en andere kwaadaardige activiteiten uit te voeren.

De tool Mimikatz is in 2007 voor het eerst ontwikkeld door Benjamin Delpy. Waarom schrijven we vandaag dan over Mimikatz? Simpelweg omdat het nog steeds werkt. Bovendien is mimikatz in de loop der jaren op verschillende manieren gestandaardiseerd, uitgebreid en verbeterd.

De officiële builds worden nog steeds onderhouden en gehost op GitHub, met als huidige versie 2.2.0 20190813 op het moment van schrijven. Daarnaast is het ook opgenomen in verschillende andere populaire post-exploitatie frameworks en tools, zoals Metasploit, Cobalt Strike, Empire, PowerSploit en soortgelijke programma's.  

afbeelding van mimikatz-bronnen

Deze tools vereenvoudigen het proces van het verkrijgen van Windows-inloggegevens (en daaropvolgende laterale bewegingen) via RAM, hash-dumps, Kerberos-exploitatie, evenals pass-the-ticket- en pass-the-hash-technieken.

afbeelding van mimikatz in gebruik

Mimikatz bestaat uit meerdere modules die zijn afgestemd op kernfunctionaliteit of verschillende aanvalsvectoren. Enkele van de meest voorkomende of gebruikte modules zijn:

  • Crypto
    • Manipulatie van CryptoAPI-functies. Biedt token-imitatie, patching van legacy CryptoAPI
  • Kerberos
    • “Golden Ticket” creëren via Microsoft Kerberos API
  • Lsadump
    • Verwerkt de manipulatie van de SAM-database (Security Account Managers). Dit kan worden gebruikt tegen een live systeem, of “offline” tegen back-upkopieën van de hive. De modules bieden toegang tot wachtwoorden via LM Hash of NTLM.
  • Process
    • geeft een lijst weer van actieve processen (kan handig zijn voor pivots)
  • Sekurlsa
    • Verwerkt de extractie van gegevens uit LSASS (Local Security Authority Subsystem Service). Dit omvat tickets, pincodes, sleutels en wachtwoorden.
  • Standaard
    • Hoofdmodule van de tool. Verwerkt basisopdrachten en -bewerkingen
  • Token
    • contextdetectie en beperkte manipulatie

Werkt MimiKatz nog steeds op Windows 10?

Ja, dat doet het. Pogingen van Microsoft om het nut van de tool te beperken, waren tijdelijk en zonder succes. De tool is voortdurend verder ontwikkeld en bijgewerkt, zodat de functies ervan elke OS-gebaseerde noodoplossing kunnen omzeilen.

Aanvankelijk was mimikatz gericht op het misbruiken van WDigest. Vóór 2013 laadde Windows versleutelde wachtwoorden in het geheugen, evenals de decoderingssleutel voor die wachtwoorden. Mimikatz vereenvoudigde het proces om deze paren uit het geheugen te halen, waardoor de inloggegevens werden onthuld.

In de loop der tijd heeft Microsoft aanpassingen aangebracht in het besturingssysteem en enkele van de tekortkomingen gecorrigeerd die mimikatz in staat stellen te doen wat het doet, maar de tool blijft deze veranderingen bijhouden en past zich dienovereenkomstig aan. Meer recentelijk heeft mimikatz modules gerepareerd die na Windows 10 1809 niet meer werkten, zoals sekurlsa::logonpasswords.

afbeelding van mimikatz uitgevoerd in Powershell ISE

Mimikatz ondersteunt zowel 64-bits x64- als 32-bits x86-architecturen met afzonderlijke builds. Een van de redenen waarom mimikatz zo gevaarlijk is, is de mogelijkheid om de mimikatz DLL reflexmatig in het geheugen te laden. In combinatie met PowerShell (bijv. Invoke-Mimikatz) of vergelijkbare methoden kan de aanval worden uitgevoerd zonder dat er iets naar de schijf wordt geschreven.

Ontdek hoe ons Singularity™ Platform aanvallen zoals Mimikatz detecteert en voorkomt.

Hoe wijdverbreid is Mimikatz tegenwoordig?

Veel prominente bedreigingen bundelen Mimikatz rechtstreeks of maken gebruik van hun implementaties om inloggegevens te verkrijgen of zich eenvoudigweg te verspreiden via de ontdekte sets inloggegevens. NotPetya en BadRabbit zijn twee grote voorbeelden, maar meer recentelijk bevat Trickbot zijn eigen implementatie voor het stelen van basisgegevens en laterale bewegingen.

Om een ander idee te krijgen van hoe wijdverbreid het gebruik van mimikatz is in echte aanvallen, hoeft men alleen maar naar MITRE te kijken. Hoewel deze lijst niet volledig is, geeft hij een goed beeld van hoeveel geavanceerde aanvallers (ook bekend als APT-groepen) deze tool gebruiken. Deze lijst is een echte “Who’s Who” van angstaanjagende bedreigers die betrokken zijn bij geavanceerde gerichte aanvallen: Oilrig, APT28, Lazarus, Cobalt Group, Turla, Carbanak, FIN6 & APT21, om er maar een paar te noemen.

image of mimikatz techniquesafbeelding van aanvallers die mimikatz gebruiken

Al deze groepen ontwikkelen hun eigen manier om mimikatz aan te roepen/in te injecteren om het succes van de aanval te garanderen en de endpoint security controles te omzeilen die hen in de weg kunnen staan.

Cobalt Group is een belangrijk aandachtspunt, omdat ze hun naam ontlenen aan het gebruik van de Cobalt Strike-tool. Cobalt Strike is een collaboratieve Red Team- en Adversary Simulation-tool. Zoals hierboven vermeld, is mimikatz opgenomen als kernfunctionaliteit. Nog zorgwekkender is de mogelijkheid om mimikatz rechtstreeks in het geheugen aan te roepen vanuit elk contextueel passend proces waarin de Cobalt Strike-beacon-payload is geïnjecteerd. Ook hier geldt weer dat dit soort ‘fileless‘-aanval voorkomt elke schijflezing/schrijfbewerking, maar kan ook veel moderne “next-gen”-producten omzeilen die niet in staat zijn om zeer specifieke OS-gebeurtenissen/activiteiten goed te monitoren.  

Kan Mimikatz endpointbeveiligingssoftware verslaan?

Als het besturingssysteem het niet bij kan houden, kunnen beveiligingsoplossingen van derden dan verdedigen tegen mimikatz-aanvallen? Dat hangt ervan af. De Mimikatz-tool vormt een uitdaging voor traditionele endpointbeveiligingsmaatregelen, ook wel bekend als legacy AV en sommige 'next-gen'-tools. Zoals hierboven vermeld, zullen ze de aanval simpelweg niet zien of kunnen voorkomen als ze het gedrag in het geheugen niet monitoren of als ze specifieke gedragingen en gebeurtenissen niet monitoren.

Er moet ook worden opgemerkt dat mimikatz beheerders- of SYSTEEM-rechten vereist op doelhosts. Dit vereist dat aanvallers een proces injecteren met de juiste bevoorrechte context, of dat ze een manier vinden om privileges te verhogen die sommige antivirussoftwareoplossingen omzeilen, met name als die oplossingen gevoelig zijn voor whitelisting “vertrouwde” OS-processen.

Ontdek hoe SentinelOne's Endpoint Security bescherming tools voor het stelen van inloggegevens, zoals Mimikatz, in realtime blokkeert.

Hoe u zich succesvol kunt verdedigen tegen Mimikatz

Zoals deze casestudy uit de praktijk laat zien, biedt de statische en gedragsgerichte AI-aanpak van SentinelOne robuuste preventie en bescherming tegen het gebruik van Mimikatz. Zelfs wanneer het rechtstreeks in het geheugen wordt geïnjecteerd, ongeacht de oorsprong, is SentinelOne in staat om het gedrag te observeren, onderscheppen en voorkomen. Nog belangrijker is echter dat we hierdoor ook de schade voorkomen die mimikatz kan veroorzaken. Het verlies van kritieke inloggegevens, gegevens en uiteindelijk tijd en geld wordt voorkomen, omdat mimikatz de SentinelOne-agent op het apparaat niet kan omzeilen.

SentinelOne voorkomt dat mimikatz inloggegevens van beveiligde apparaten kan scrapen. Naast andere ingebouwde beveiligingen hebben we een mechanisme toegevoegd dat het lezen van wachtwoorden onmogelijk maakt, ongeacht de beleidsinstellingen.  


Krijg diepere informatie over bedreigingen

Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.

Meer leren

Conclusie

Het komt erop neer dat mimikatz een bijna alomtegenwoordig onderdeel is van de toolset van de moderne tegenstander. Het wordt gebruikt op alle niveaus van complexiteit en tegen het volledige spectrum van doelsoorten en -categorieën. Ondanks dat het meer dan 12 jaar geleden is ontwikkeld, blijft de toolset werken en verbeteren, en evenzo blijft blijft mimikatz een uitdaging vormen voor verouderde en legacy endpoint protection technologieën.

SentinelOne biedt een eersteklas oplossing om alle aspecten van mimikatz-gerichte aanvallen aan te pakken met gedrags-AI en Active EDR. Er is geen alternatief voor autonome endpointdetectie en -respons in het huidige dreigingslandschap.

MITRE ATT&CK IOC's

Mimikatz {S0002}
Accountmanipulatie {T1098}
Credential Dumping {T1003}
Pass The Hash {T1075}
Pass The Ticket {T1097}
Privésleutels {T1145}
Beveiligingsondersteuningsprovider {T1101}
Cobalt Strike {S0154}

Veelgestelde vragen over Mimikatz

Mimikatz is een van de meest gebruikte en gedownloade tools voor cybercriminelen, oorspronkelijk ontwikkeld door Benjamin Delpy als proof of concept. Het is een van 's werelds beste tools voor het stelen van wachtwoorden en hackers gebruiken de tool om netwerken te infiltreren.

U moet Mimikatz als beheerder uitvoeren om het correct te kunnen gebruiken. Er zijn twee versies beschikbaar: 32-bits en 64-bits. Met de sekurlsa-module in Mimikatz kunnen gebruikers wachtwoorden uit het geheugen dumpen. De cryptomodule geeft toegang tot de CryptoAPI in Windows en geeft een overzicht van certificaten en privésleutels en exporteert deze. De Kerberos API is toegankelijk met de Kerberos-module van Mimikatz en kan worden gebruikt om Kerberos-tickets te extraheren en te manipuleren.

U kunt Mimikatz detecteren via PowerShell-scriptbloklogging door te controleren op specifieke opdrachten zoals "mimikatz", "sekurlsa::pth" of "kerberos::ptt". Zoek naar LSASS-geheugendumps met behulp van dbgcore.dll of dbghelp.dll. Controleer op ongebruikelijke procestoegang tot lsass.exe en controleer op verdachte PowerShell-activiteit. Als u SentinelOne hebt geïmplementeerd, kan dit Mimikatz-processen automatisch detecteren en blokkeren. U moet ook letten op pogingen tot het dumpen van inloggegevens en ongebruikelijke authenticatiepatronen.

Het is geen virus. Mimikatz is echter een open-source malwareprogramma dat wachtwoorden en gebruikersgegevens steelt. Je kunt het ook een hacktool noemen.

Als u Mimikatz gebruikt voor penetratietesten en beveiligingsonderzoek, dan is het gebruik legaal. Maar als u het gebruikt om zonder toestemming wachtwoorden te stelen, is dat illegaal en dus strafbaar. Veel organisaties hebben expliciete beleidsregels met betrekking tot het gebruik ervan en vereisen de juiste autorisatie voordat het wordt ingezet.

Wijzig uw beheerdersrechten en cachingbeleid. Schakel debuggingrechten uit en verhoog de lokale beveiligingsautoriteit. Configureer aanvullende LSA-configuratie-items om het aanvalsoppervlak van uw organisatie te verkleinen. Om beveiligingslogging en -monitoring in te schakelen, kunt u SentinelOne gebruiken. Dit helpt u pogingen tot het stelen van wachtwoorden op te sporen en het verzamelen en stelen van inloggegevens te voorkomen.

Ontdek Meer Over Threat Intelligence

Wat is een botnet in cyberbeveiliging?Threat Intelligence

Wat is een botnet in cyberbeveiliging?

Botnets zijn netwerken van gecompromitteerde apparaten die voor kwaadaardige doeleinden worden gebruikt. Ontdek hoe ze werken en verken strategieën om je ertegen te verdedigen.

Lees Meer
Wat is Threat Hunting?Threat Intelligence

Wat is Threat Hunting?

Threat hunting identificeert proactief beveiligingsrisico's. Leer effectieve strategieën voor het uitvoeren van threat hunting in uw organisatie.

Lees Meer
Wat is Business Email Compromise (BEC)?Threat Intelligence

Wat is Business Email Compromise (BEC)?

Business Email Compromise (BEC) richt zich op organisaties via misleidende e-mails. Leer hoe u deze kostbare aanvallen kunt herkennen en voorkomen.

Lees Meer
Wat is OSINT (Open Source Intelligence)?Threat Intelligence

Wat is OSINT (Open Source Intelligence)?

Duik in de betekenis van OSINT (Open Source Intelligence), de geschiedenis ervan en hoe het wordt gebruikt voor ransomwarepreventie, risicobeoordeling en onderzoeken. Ontdek OSINT-tools, frameworks en best practices om bedrijven te beschermen.

Lees Meer
Klaar om uw beveiligingsactiviteiten te revolutioneren?

Klaar om uw beveiligingsactiviteiten te revolutioneren?

Ontdek hoe SentinelOne AI SIEM uw SOC kan transformeren in een autonome krachtcentrale. Neem vandaag nog contact met ons op voor een persoonlijke demo en zie de toekomst van beveiliging in actie.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Dutch
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden