Saltar al contenido principal

Mimikatz

La navaja suiza de Windows post-exploit.

Categoría: Post-explotación 🎯 Trinchera — La navaja suiza de Windows post-exploit. Lee secretos de LSASS (memoria del proceso de autenticación): hashes NTLM, claves Kerberos, tickets TGT. 🔗 Kill chain — Requisito: SYSTEM o admin local. Movimiento siguiente: Pass-the-Hash, Pass-the-Ticket, Golden Ticket. 📡 Huella defensiva — Detección crítica inmediata por firma/comportamiento en CrowdStrike, Defender for Endpoint, SentinelOne. Toca LSASS → tag Credential Theft. Su ejecución pura es básicamente imposible en empresas modernas sin AMSI bypass + LSA Protection bypass. ⚠️ Falso amigo — Bajar mimikatz.exe y ejecutarlo. Muerte instantánea. Hay que usar variantes en memoria (Invoke-Mimikatz reflectivo) y/o evadir AMSI primero. 🛡️ Remediación — Credential Guard, LSA Protection (RunAsPPL), Protected Users group, EDR con tag de comportamiento (no sólo firma).
Volver al glosario completo Última actualización: 2026-06-11