Plugin mimikatz offline para Volatility

Hace tiempo estuvimos probando un extensión de Mimikatz para WinDBG con la que podíamos extraer las contraseñas de Windows en claro desde un volcado de memoria, es decir, de modo totalmente off-line. Ahora podemos hacerlo también directamente desde Volatility gracias a un plugin que ha creado Francesco Picasso de Zena Forensics.

Para probarlo empezaremos obteniendo un volcado de memoria de la máquina de la víctima. En esta ocasión lo haremos mediante Belkasoft Love RAM Capturer, una pequeña herramienta gratuita para obtener el contenido completo de la memoria volatil que incluso incluye medidas contra sistemas anti-debugging y anti-dumping.
 

Ahora actualizamos el repositorio de Zena Forensic, al que bautizaron hotoloti (git clone https://code.google.com/p/hotoloti/) o descargamos directamente el script en Python mimikatz.py y después lo copiamos en la carpeta de plugins de Volatility.

Probablemente al ejecutar Volatility con este plugin tendrás que instalar algún módulo adicional de Python, en mi caso pycrypto, construct y six.

Finalmente lo ejecutamos y... voilà!

D:\Python27\Scripts>vol.py --profile=Win7SP0x64 -f d:\hotoloti\20140326.mem mimikatz
Volatility Foundation Volatility Framework 2.3.1
WARNING : volatility.obj      : NoneObject as string: Invalid offset 4526360 for
 dereferencing Buffer as String
WARNING : volatility.plugins.mimikatz: [Credential:decrypt_epwd] unicode decode
error
Module   User             Domain           Password

-------- ---------------- ---------------- -------------------------------------
---
wdigest  vmotos           DOMINIO         contraseña_en_claro

wdigest  PC_CASA_3$      DOMINIO         22d38e7bd5c740e0aa7...f4f436cb11bb123165