O VMkatz é uma ferramenta poderosa que extrai credenciais diretamente de arquivos de máquinas virtuais, contornando a necessidade de acesso direto aos sistemas operacionais convidados. Sua capacidade de operar em diversas plataformas de virtualização representa um risco significativo para a segurança.
MundiX News·10 de julho de 2026·4 min de leitura·👁 1 views
Em 2026, foi divulgado o VMkatz, uma ferramenta que, em sua funcionalidade, assemelha-se ao conhecido Mimikatz. No entanto, o VMkatz foca na extração de credenciais diretamente de arquivos de máquinas virtuais (snapshots de memória e discos virtuais), sem a necessidade de realizar login nas máquinas virtuais Windows convidadas. Essa ferramenta é capaz de interagir com arquivos de máquinas virtuais de diversas plataformas, incluindo VMware ESXi, Microsoft Hyper-V, VirtualBox e QEMU/KVM, ampliando seu alcance e potencial de exploração.
Para sistemas ESXi, os desenvolvedores prepararam um carregador Python específico. Este carregador tem como objetivo injetar o VMkatz na memória sem a necessidade de executar o arquivo binário através de execve(). Em vez disso, o script lê o binário ELF como um conjunto de bytes, analisa seus cabeletos e segmentos carregáveis, aloca áreas de memória no espaço de endereçamento do processo atual, copia o conteúdo do ELF para essas áreas e, por fim, transfere o controle para o ponto de entrada do binário. O resultado é que o VMkatz não é executado como um processo independente, mas sim dentro de um processo Python já existente. Este mecanismo é empregado para contornar as restrições do parâmetro execInstalledOnly, que impede a execução de binários não assinados. Um exemplo prático demonstra o VMkatz em operação no ESXi, iniciado com o auxílio do carregador Python. Ao receber um snapshot de memória de uma máquina virtual como entrada, o VMkatz conseguiu extrair as credenciais disponíveis.
Em uma investigação conduzida pela equipe PT ESC IR, foi identificado um cenário onde atacantes, após obterem acesso ao hipervisor VMware ESXi, empregaram uma abordagem similar para extrair credenciais de máquinas virtuais. Os comandos utilizados incluíam a execução do VMkatz via carregador Python, direcionando-o para snapshots de memória (.vmsn) e discos virtuais (.vmdk) de máquinas virtuais específicas, como VM-DC01. Um risco adicional e considerável reside na funcionalidade da utilidade para extrair o banco de dados do Active Directory (NTDS.dit) e a seção de registro SYSTEM de controladores de domínio. Nesses casos, a compromissão do hipervisor pode não apenas levar à comprometimento de máquinas virtuais individuais, mas também à completa subjugação de todo o domínio. Para mitigar esses riscos, é crucial implementar o ciframento de todos os arquivos de máquinas virtuais e desativar o acesso SSH como método primário de administração, utilizando-o apenas temporariamente para diagnósticos e resolução de problemas. A autenticação via chaves SSH deve ser preferida em detrimento de senhas, e o acesso à porta TCP 22 deve ser rigorosamente restrito por firewalls ou segmentos administrativos dedicados, permitindo conexões apenas a partir de jump hosts ou IPs administrativos confiáveis, protegidos por autenticação multifator.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Em 2026, foi divulgado o VMkatz, uma ferramenta que, em sua funcionalidade, assemelha-se ao conhecido Mimikatz. No entanto, o VMkatz foca na extração de credenciais diretamente de arquivos de máquinas virtuais (snapshots de memória e discos virtuais), sem a necessidade de realizar login nas máquinas virtuais Windows convidadas. Essa ferramenta é capaz de interagir com arquivos de máquinas virtuais de diversas plataformas, incluindo VMware ESXi, Microsoft Hyper-V, VirtualBox e QEMU/KVM, ampliando seu alcance e potencial de exploração.
Para sistemas ESXi, os desenvolvedores prepararam um carregador Python específico. Este carregador tem como objetivo injetar o VMkatz na memória sem a necessidade de executar o arquivo binário através de execve(). Em vez disso, o script lê o binário ELF como um conjunto de bytes, analisa seus cabeletos e segmentos carregáveis, aloca áreas de memória no espaço de endereçamento do processo atual, copia o conteúdo do ELF para essas áreas e, por fim, transfere o controle para o ponto de entrada do binário. O resultado é que o VMkatz não é executado como um processo independente, mas sim dentro de um processo Python já existente. Este mecanismo é empregado para contornar as restrições do parâmetro execInstalledOnly, que impede a execução de binários não assinados. Um exemplo prático demonstra o VMkatz em operação no ESXi, iniciado com o auxílio do carregador Python. Ao receber um snapshot de memória de uma máquina virtual como entrada, o VMkatz conseguiu extrair as credenciais disponíveis.
Em uma investigação conduzida pela equipe PT ESC IR, foi identificado um cenário onde atacantes, após obterem acesso ao hipervisor VMware ESXi, empregaram uma abordagem similar para extrair credenciais de máquinas virtuais. Os comandos utilizados incluíam a execução do VMkatz via carregador Python, direcionando-o para snapshots de memória (.vmsn) e discos virtuais (.vmdk) de máquinas virtuais específicas, como VM-DC01. Um risco adicional e considerável reside na funcionalidade da utilidade para extrair o banco de dados do Active Directory (NTDS.dit) e a seção de registro SYSTEM de controladores de domínio. Nesses casos, a compromissão do hipervisor pode não apenas levar à comprometimento de máquinas virtuais individuais, mas também à completa subjugação de todo o domínio. Para mitigar esses riscos, é crucial implementar o ciframento de todos os arquivos de máquinas virtuais e desativar o acesso SSH como método primário de administração, utilizando-o apenas temporariamente para diagnósticos e resolução de problemas. A autenticação via chaves SSH deve ser preferida em detrimento de senhas, e o acesso à porta TCP 22 deve ser rigorosamente restrito por firewalls ou segmentos administrativos dedicados, permitindo conexões apenas a partir de jump hosts ou IPs administrativos confiáveis, protegidos por autenticação multifator.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.