mimikittenz de Jamieson O'Reilly aka putterpanda (atentos a su foto de perfil en Github lol!) es una herramienta de post-explotación en powershell/C sharp que utiliza la función de Windows ReadProcessMemory() para extraer contraseñas en claro de varios procesos.

Su objetivo es facilitar a nivel de usuario (sin necesidad de privilegios de administrador) la extracción de datos sensibles con el fin de maximizar los esfuerzos en la fase de post-explotación y aumentar el valor de la información recogida por cada objetivo.


Actualmente mimikittenz es capaz de extraer las siguientes credenciales de la memoria:

Webmail

•     Gmail
•     Office365
•     Outlook Web

Accounting

•     Xero
•     MYOB

Remote Access

•     Juniper SSL-VPN
•     Citrix NetScaler
•     Remote Desktop Web Access 2012

Developement

•     Jira
•     Github
•     Bugzilla
•     Zendesk
•     Cpanel

IHateReverseEngineers

•     Malwr
•     VirusTotal
•     AnubisLabs

Misc

•     Dropbox
•     Microsoft Onedrive
•     AWS Web Services
•     Slack
•     Twitter
•     Facebook

Además, mimikittenz también puede extraer fácilmente otros tipos de *jugosa* información de procesos utilizando patrones de expresiones regulares que incluyen pero no se limitan a:

- datos de TRACK2 (tarjetas de crédio) de los procesos de venta/POS
- datos PII
- claves de cifrado y otros

Regex personalizado - la sintaxis para añadir expresiones regulares personalizadas es la siguiente:

[mimikittenz.MemProcInspector]::AddRegex("<NameOfTarget>","<regex_here>")

Personalizar proceso objetivo - sólo hay que añadir el nombre del proceso dentro del array:

$matches=[mimikittenz.MemProcInspector]::InspectManyProcs("iexplore","chrome","firefox")

Nota: Esta herramienta tiene como objetivo el espacio de direcciones de memoria del proceso, una vez que se mata el proceso la memoria "debería" ser limpiada e inaccesible, sin embargo hay algunos casos extremos en los que esto no ocurre

Github: https://github.com/putterpanda/mimikittenz
Via: www.hackplayers.com