VMkatz — extraindo credenciais do Windows diretamente de snapshots de memória de máquina virtual e discos virtuais

A ferramenta foi projetada para extrair hashes NTLM, chaves DPAPI, tickets Kerberos, credenciais de domínio em cache, segredos LSA e o banco de dados NTDS.dit diretamente de .vmsn, .vmdk e outros artefatos de máquina virtual. Ela opera sem baixar imagens completas — uma vantagem crucial quando a largura de banda é limitada ou a detecção de exfiltração é uma preocupação. A ferramenta é um binário compilado estaticamente (~2,5 MB) capaz de executar diretamente em um NAS, hypervisor ou sistema de armazenamento onde os arquivos da VM residem.

Recursos: 📍 Extrai segredos da memória LSASS para todos os nove provedores SSP suportados pelo Mimikatz 📍 Funciona com arquivos .vmsn, .vmdk, .sav sem precisar inicializar ou "descongelar" a máquina virtual. 📍 Recupera hashes NTLM, chaves mestras DPAPI, tickets Kerberos, segredos LSA e NTDS.dit 📍 Um binário de arquivo único sem dependências externas ou requisitos de instalação.

Funcionalmente, o VMkatz é mais próximo dos módulos Mimikatz e Impacket para análise offline. Ao contrário das ferramentas tradicionais, ele interage diretamente com imagens de disco e memória da VM. Enquanto o Mimikatz se destaca em tarefas interativas em sistemas ativos, o VMkatz foi construído especificamente para extração eficiente e discreta de snapshots de VM.

📎 Ferramenta: https://github.com/nikaiw/VMkatz

💬 Discutir