CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Bellek Analizi

Credential Dumping İzleri: LSASS Analizi ile Kimlik Hırsızlığını Önleyin

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Bellek Analizi

Bu makalede, Credential Dumping izlerinin analizi ve LSASS sürecinin önemi ele alınmaktadır.

Credential Dumping İzleri: LSASS Analizi ile Kimlik Hırsızlığını Önleyin

Credential Dumping, siber tehditler arasında önemli bir yere sahiptir. LSASS analizi ile kimlik bilgisi hırsızlığı izlerini tespit etmek ve bu tehdidi bertaraf etmek mümkündür.

Giriş ve Konumlandırma

Siber güvenlik alanında, kimlik bilgisi hırsızlığı (credential dumping) günümüzde sıkça karşılaşılan bir tehdit vektörüdür. Özellikle işletmeler, bu tür saldırılara maruz kalmaktadir ve bu durum, hem finansal kayıplara hem de itibar kaybına neden olabilmektedir. Credential dumping, saldırganların, hedef sistemlerdeki kullanıcı kimlik bilgilerini çalma amacıyla kullandıkları bir tekniktir. Bu bağlamda, Local Security Authority Subsystem Service (LSASS) süreci, bu kimlik bilgilerini yöneten kritik bir bileşendir.

Credential Dumping Nedir?

Credential dumping terimi, siber saldırganların kullanıcı kimlik bilgilerini sistem belleğinden çıkarma girişimlerini ifade eder. Bu işlem, genellikle bellek analizi yaparak gerçekleştirilir ve sistemdeki önemli sürecin (LSASS gibi) üzerinde çalışarak, kayıtlı şifre ve oturum bilgilerine ulaşılmasını sağlar. Bu tür eylemler, genellikle başka bir siber saldırı aşamasıyla birleşerek, yetki yükseltme veya lateral movement (yana kaydırma) gibi hedeflere ulaşabilecek ortam yaratır.

Neden Önemlidir?

Siber güvenlik açısından kimlik bilgisi hırsızlığı, saldırganların sistem üzerinde yetki kazanmasında kritik bir rol oynar. Credential dumping’in etkileri oldukça geniştir. Başarılı bir saldırı sonrasında, saldırganlar hedef ağa eşit düzeyde erişim sağlamanın yanı sıra, kullanıcıların hassas verilerine ulaşabilir. Bu durum, yalnızca bireysel kullanıcıları değil, işletme verilerini de tehlikeye atar. Dolayısıyla, kurumların bu tür saldırılara karşı önlem almaları, her zamankinden daha önemli hale gelmiştir.

LSASS Analizi ve Savunma

Siber güvenlik analistleri, credential dumping analizlerini gerçekleştirmek için genellikle LSASS sürecini inceler. Bu süreç, kullanıcı oturum kimlik bilgilerini yönetir ve saldırganlar için değerli bir hedef haline gelir. LSASS sürecinin analizi, şüpheli işlem erişimlerini tespit etmek ve credential extraction (kimlik bilgisi çıkarımı) davranış göstergelerini araştırmak açısından kritik bir yol haritası sunar.

Bu tür analizler, sistemin bellek yapısının incelenmesini ve belirli araçların kullanılması yoluyla gerçekleşir. Bu araçlar arasında bellek analiz araçları (örneğin, Volatility Framework) bulunur. Analiz sırasında, LSASS sürecine erişen şüpheli handle’lar tespit edilir ve bu handle’ların hangi işlemlerle ilişkili olduğu belirlenir.

# Örnek bir Volatility komutu:
volatility -f <memory_image> --profile=<profile> pslist

Bu komut, bellek görüntüsünde çalışan işlemlerin listesini çıkartarak, LSASS sürecini belirlemek için kullanılabilir. Analiz sırasında ayrıca, "malfind" gibi araçlar kullanılarak, bellekte bulunabilecek saldırı kodlarının tespiti sağlanabilir. Bu, credential dumping girişimlerinin daha detaylı incelenmesine ve potensiyel tehditlerin erken aşamada yakalanmasına olanak tanır.

Eğitim ve Farkındalık

Bu makale, daha derin bir teknik içerik sunmanın yanı sıra, okuyucuyu credential dumping konusunda bilinçlendirmek ve savunma stratejileri geliştirmeye teşvik etmeyi amaçlamaktadır. Özellikle SOC (Security Operations Center) düzeyindeki analistlerin, credential dumping tespiti ve önlenmesine yönelik bilgi ve becerilerini artırmaları önemlidir. Eğitim ve sürekli güncellemeler, güvenlik gruplarının bu tür tehditlerle başa çıkma yeteneğini artıracaktır.

Siber güvenlikte başarı, sadece teknolojik çözümlerle değil, aynı zamanda insan faktörüyle de doğrudan ilgilidir. Kimlik bilgisi hırsızlığı konusunda yapılacak her dikkatli analiz ve tecrübe, savunma mekanizmalarının güçlenmesine katkı sağlayacaktır. Dolayısıyla, analistlerin bu bağlamda gerekli yetkinlikleri kazanması ve bilinçlenmesi hayati bir gereksinimdir.

Bu kökler üzerine inşa edilen bir güvenlik kültürü, kimlik hırsızlığını önlemek için kritik bir adım olacaktır. Sonuç olarak, credential dumping analizleri ve LSASS incelemeleri, siber dünya üzerinde etkin bir savunma mekanizması oluşturmak için kaçınılmaz bir unsur haline gelmektedir.

Teknik Analiz ve Uygulama

Credential Dumping İzleri: LSASS Analizi ile Kimlik Hırsızlığını Önleyin

Siber güvenlikte, kimlik bilgisi hırsızlığı (credential dumping) önemli bir risk kaynağıdır. Bu saldırılar, kurumsal sistemlerde ciddi güvenlik ihlallerine neden olabilir. Kimlik bilgileri, saldırganlar için hedef sistemlere erişim sağlamakta kritik bir role sahiptir. Bu bölümde, kimlik bilgisi hırsızlığının teknik yönlerini, özellikle LSASS (Local Security Authority Subsystem Service) analizi üzerinden ele alacağız.

Credential Dumping Tanımı

Credential dumping, bir saldırganın bir sistemin belleğinden kimlik bilgilerini almasına yönelik bir tekniktir. Bu süreç, sistemde mevcut olan oturum açma kimlik bilgilerini ve erişim token'larını hedef alır. Genellikle bu işlemler, şifrelerin çalınması ve yetki yükseltme için kullanılır. Kimlik bilgisi hırsızlığı, saldırganların sistem içerisinde lateral movement (yan hareket) yapmalarına veya daha fazla yetki elde etmelerine olanak tanır.

LSASS Analysis Workflow

LSASS süreci, Windows işletim sistemlerinde kimlik doğrulama işlemlerini yöneten kritik bir bileşendir. Bir saldırgan, LSASS sürecine erişim sağlayarak hedef sistemdeki kullanıcı bilgilerine ulaşmayı hedefler. Bu süreç içerisinde aşağıdaki adımlar izlenerek bir LSASS analizi gerçekleştirilebilir:

  1. LSASS Sürecinin İzlenmesi: LSASS süreci pslist komutu ile izlenebilir. Bu komut, LSASS sürecinin görünürlüğünü sağlar.

    pslist -p lsass.exe

  2. Şüpheli Handle Analizi: LSASS'a erişim sağlayan şüpheli handle’lar tespit edilmeli ve bunların ne tür bir erişim sağladığı incelenmelidir. handles aracı kullanılarak bu analiz gerçekleştirilebilir.

    handles -p lsass.exe

  3. Injected Credential Theft Code Detection: malfind komutu kullanılarak, bellekteki zararlı yazılım kalıntıları ve enjekte edilmiş kimlik bilgisi hırsızlığı kodları tespit edilebilir.

    malfind

  4. Credential Theft Detection: Analiz sırasında kimlik bilgisi hırsızlığına dair herhangi bir belirti tespit edilecekse, bu durum Credential Theft Detection olarak adlandırılır.

  5. İhlal Kapsamı Değerlendirmesi: Eğer bir ihlal tespit edilirse, ihlal kapsamı değerlendirmesi yapılmalıdır. Bu değerlendirme, sistemin ne kadar etkilendiğinin belirlenmesi açısından önemlidir.

Credential Theft Detection Araçları

Credential dumping analizi için bir dizi araç ve teknik kullanılır. Bu araçlar, saldırganların izlerini tespit etmeye yardımcı olur. Aşağıda bazı temel araçlar ve kullanımları yer almaktadır:

  • Mimikatz: Bu ünlü araç, bellek üzerinde kimlik bilgilerini çalmak için sıklıkla kullanılır. Mimikatz belirteçleri, kimlik bilgisi hırsızlığının belirtilerini gösterebilir ve bu nedenle analiz sırasında dikkatlice incelenmelidir.

  • Volatility: Bellek analizi için kullanılan bu araç, LSASS süreçlerine dair detaylı bilgiler sunar. Örneğin, erişim token kalıntıları security token artifacts olarak bilinir ve bu kalıntılar analiz edilmelidir.

    volatility --plugins=path_to_plugins pslist

Credential Dumping Riskleri

Kimlik bilgisi hırsızlığı, kurumsal sistemlerde birçok riski beraberinde getirir:

  • Yetki Yükseltme: Saldırgan, elde ettiği kimlik bilgileri ile daha yüksek yetkilere sahip bir hesap oluşturabilir.
  • Tedarik Zinciri İhlalleri: Bir saldırgan, bir kullanıcı hesabına erişim sağladıktan sonra, bu hesabı kullanarak diğer sistemlere de sızabilir.
  • Geniş Çaplı İhlaller: Elde edilen kimlik bilgileri, geniş çaplı veri ihlallerine yol açabilir.

Güvenlik Ekiplerinin Rolü

SOC L2 analistleri, credential dumping izlerini analiz ederek kimlik tabanlı tehditleri ortaya çıkarır ve savunmayı güçlendirir. Bu analistler, belirtilen araçları kullanarak olası güvenlik ihlallerini tespit eder ve bu ihlallerin etkilerini minimize etmek için çalışır.

Sonuç olarak, credential dumping analizi yapmak, saldırıların önlenmesi ve sistem güvenliğinin artırılması açısından kritik öneme sahiptir. LSASS sürecinin dikkatlice incelenmesi, bu tür tehditlerle başa çıkmada önemli bir adım olacaktır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yanlış Yapılandırmanın Etkisi

Credential dumping, yani kimlik bilgisi hırsızlığı, siber güvenlik alanında kritik bir tehdit olarak karşımıza çıkmaktadır. Özellikle Windows işletim sistemlerinde kullanılan Local Security Authority Subsystem Service (LSASS), kimlik bilgilerinin saklandığı ve yönetildiği önemli bir süreçtir. Bu süreç üzerinden gerçekleştirilen saldırılar, kötü niyetli kullanıcıların sisteme yetkisiz erişim elde etmesine yol açabilir. Credential dumping, kurumsal güvenliğe yönelik riskleri artırmakta ve geniş çaplı veri ihlallerine neden olabilmektedir.

Birincil risk, kötü niyetli bir saldırganın LSASS üzerinde erişim sağladığında ortaya çıkar. Eğer sistemizde zafiyetler mevcutsa veya yanlış yapılandırmalar varsa, saldırganlar kimlik bilgilerini çalmak için gereken adımları kolayca atlayabilirler. Örneğin, bir güvenlik açığı nedeniyle ihtiyacı olmayan bir kullanıcı, yönetici seviyesinde yetkilere sahip ise, bu durum credential dumping için bir fırsat sunar.

# LSASS sürecini kontrol etmek için örnek bir komut 
tasklist /FI "IMAGENAME eq lsass.exe"

Bu komut kullanılarak LSASS sürecinin çalışıp çalışmadığı kontrol edilebilir. LSASS sürecinin anormal davranış sergilediği durumlarda, örneğin beklenmedik bir işlem kullanımı veya bellek tüketimindeki artışlar, bir saldırının belirtisi olabilir. Bu tür anormallikler, sistem yöneticileri tarafından gözlemlenmeli ve takip edilmelidir.

Sızan Verinin Topolojisi ve Sonuçlarının Analizi

Credential dumping ile elde edilen veriler genellikle kullanıcı kimlik bilgileri, parolalar ve oturum tokenları şeklinde karşımıza çıkar. Bu bilgiler, bir ağ içinde ciddi tehditlere yol açabilir. Örneğin, sızan bir kullanıcı adı ve şifre kombinasyonu, saldırganın ağda lateral movement (yan hareket) yapmasına olanak tanıyabilir. Bu durumda, saldırgan bir kullanıcı oturumunu ele geçirerek farklı kaynaklara erişim sağlayabilir ve daha derin sistemlere zarar verebilir.

Verilerin toplanmasıyla ilgili bir başka önemli husus ise, doğru bir şekilde analiz edilmesidir. LSASS analizi sırasında, aşağıdaki araç ve yöntemler kullanılmalıdır:

  • Malfind: Kimlik bilgisi hırsızlığı amacıyla enjekte edilmiş kodların tespiti için kullanılır.
  • Pslist: LSASS süreci görünürlüğünü sağlayarak, hangi işlemlerin çalıştığını gösterir.
  • Handles: Şüpheli process erişimlerinin analiz edilmesine yardımcı olur.

Bu araçlarla yapılan analizler, sızan verilerin kaynaklarını tespit ederken aynı zamanda potansiyel bir ihlalin kapsamını değerlendirmeye yardımcı olacaktır.

# Malfind kullanarak enjekte edilmiş kodların tespiti
volatility -f memory_dump.raw --profile=Win7SP1x64 malfind

Yukarıdaki komut ile bellek dökümü üzerinde malfind aracı kullanılarak şüpheli enjekte edilmiş kodlar incelenebilir. Böylece, credential dumping sürecinde kimlerin hedef alındığı ve hangi verilerin tehlikeye girdiği belirlenebilir.

Profesyonel Önlemler ve Hardening Önerileri

Credential dumping’e karşı etkili savunmalar geliştirmek için, sistem yöneticilerinin çeşitli önlemler alması gerekmektedir. Aşağıda bazı profesyonel önlemler ve hardening önerileri sıralanmıştır:

  1. Güçlü Parola Politikaları: Kullanıcı hesapları için karmaşık parolalar ve düzenli olarak parola değişimi uygulanmalıdır.

  2. Kullanıcı Yetkilerinin Sınırlanması: Sadece gerekli olan kullanıcıların yönetici erişimine sahip olması sağlanmalı, gereksiz yetkilendirmeler kaldırılmalıdır.

  3. Güvenlik Güncellemeleri ve Yamalar: İşletim sistemi ve uygulamalardaki güvenlik açıkları için düzenli güncellemeler sağlanmalıdır.

  4. Anti-Virüs ve EDR Çözümleri: Malicious activity tespit edebilecek güvenlik yazılımları kullanılmalı ve bu yazılımlar düzenli olarak güncellenmelidir.

  5. Ağ Segmentasyonu: Kullanıcıları ve sistemleri farklı ağ segmentlerinde bulundurmak, bir ihlal durumunda zarar görebilecek alanı sınırlamaya yardımcı olur.

Sonuç

Credential dumping, etkin bir siber güvenlik önlemi alınmadığı takdirde ciddi risklere yol açabilir. LSASS analizi ile toplanan verilerin doğru bir şekilde yorumlanması ve savunma mekanizmalarının güçlendirilmesi, kimlik hırsızlığının önlenmesinde kritik öneme sahiptir. Güvenlik açıklarını sürekli olarak izlemek ve uygun önlemleri almak, siber tehditlere karşı daha dayanıklı bir sistem inşa etmenizi sağlar. Hedef odaklı bir risk değerlendirmesi yapmak ve gerekli savunmalar geliştirmek, güvenli bir siber ortam sağlamak için kaçınılmazdır.