CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

Kimlik Bilgisi Hırsızlığı İzlerinin Tespiti ve Önlenmesi

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

Bu blog yazısında, kimlik bilgisi hırsızlığına karşı izleme yöntemlerini ve önleyici stratejileri keşfedeceksiniz.

Kimlik Bilgisi Hırsızlığı İzlerinin Tespiti ve Önlenmesi

Kimlik bilgisi hırsızlığı, günümüzde siber saldırganlar için yaygın bir yöntemdir. Bu yazıda, kimlik bilgisi hırsızlığının izlerini nasıl tespit edeceğinizi öğrenin.

Giriş ve Konumlandırma

Kimlik bilgisi hırsızlığı, günümüz dijital dünyasında ciddi bir güvenlik tehdidi olarak karşımıza çıkmaktadır. Bu tür bir saldırı, kötü niyetli kişilerin (saldırganların) sistemlerdeki kullanıcı kimlik bilgilerini ele geçirme girişimlerini kapsar. Hedef alınan veriler genellikle kullanıcı adları, parolalar ve diğer değerlendirilmiş kimlik bilgileri olarak sınıflandırılır. Bu bilgiler, saldırganların ağ içinde hareket etmesi ve daha yüksek yetkilere sahip kullanıcı hesaplarına ulaşmasını sağlar. İşte bu yüzden kimlik bilgisi hırsızlığı, siber güvenlik profesyonelleri için öncelikli bir tehdit olarak tanımlanıyor.

Önemi ve Etkileri

Kimlik bilgisi hırsızlığı, bir siber saldırının en kritik unsurlarından birini oluşturur. Ele geçirilen kimlik bilgileri sayesinde saldırganlar, sistemlere erişim sağlamada ve bu sistemlerle etkileşime geçmede büyük avantajlar elde ederler. Bu durum, yalnızca bireysel kullanıcılar için değil, aynı zamanda organizasyonlar için de önemli riskler taşır. Gizlilik ihlalleri, veri kaybı ve mali kayıpların yanı sıra, kurumsal itibarın zedelenmesi de kaçınılmaz bir sonuç olarak ortaya çıkar. Bu sebeple, kimlik bilgisi hırsızlığı izlerini tespit etmek ve önlemek için etkili stratejilerin geliştirilmesi oldukça kritiktir.

Siber Güvenlik ve Analiz

Siber güvenlik bağlamında, kimlik bilgisi hırsızlığı izlerinin tespit edilmesi, genellikle bir güvenlik olayına müdahale sürecinin ilk aşamalarından biridir. Ağ veya sistem bademlerinde normal davranışları takip eden yöntemler kullanarak, bu tür tehditlerin izleri belirlenebilir. Örneğin, bir sistemi hedef alan saldırgan, "lsass.exe" sürecinden (Local Security Authority Subsystem Service) kimlik bilgilerini çalma yönünde girişimde bulunabilir. Bu süreç, Windows işletim sistemlerinde kullanıcıların kimlik bilgilerini güvenli bir şekilde saklamakla görevli kritik bir bileşendir.

Teknolojik olarak, modern EDR (Endpoint Detection and Response) sistemleri, "lsass.exe" gibi kritik süreçlere yönelik bilinçli izleme ve koruma sağlar. Bu sistemler, diğer süreçlerin bu kritik bellek alanına erişim talep ettiklerinde alarm vererek olası bir tehdidi tespit eder. Belirli bir işleme erişim isteği, "PROCESS_VM_READ" API çağrısı gibi olağan dışı bir durum söz konusu olduğunda, sistemde bir güvenlik açığı olabileceğine işaret eder.

Savunma Stratejileri

Hedef kimlik bilgilerini korumanın en etkili yolu, bu tür saldırıların önceden tahmin edilmesi ve engellenmesi için uygun önlemlerin alınmasıdır. Belirli donanım tabanlı güvenlik çözümleri, örneğin Credential Guard gibi, sisteme entegre edilerek kimlik bilgileri sahteliğinin önüne geçebilir. Bu tür çözümler, kimlik bilgilerini korumak amacıyla bellek sanallaştırması kullanarak, yetkisiz erişim girişimlerini engeller.

Daha derinlemesine bir analiz yapmak için, bellek dökümleme, kimlik bilgisi hırsızlığını tespit etmede önemli bir araçtır. Aşağıda, bellek dökümlemenin ne olduğu ve neden kritik olduğu ile ilgili bir örnek verilmiştir:

# Bellek dökümleme işlemi için kullanılan örnek bir komut
procdump -ma lsass.exe C:\Dumps\lsass.dmp

Bu komut, "lsass.exe" sürecinin bellek içeriğinin anlık görüntüsünü alarak disk üzerinde saklar. Elde edilen bu dosya, güvenlik analistleri tarafından incelenebilir ve potansiyel tehditlerin belirlenmesine yardımcı olabilir.

Üzerinde Düşünülmesi Gerekenler

Sonuç olarak, kimlik bilgisi hırsızlığı, modern siber güvenlik dünyasında kritik bir konudur. Tehditler sürekli evrilirken, savunma stratejilerinin de buna paralel olarak gelişmesi ve güncellenmesi gerekmektedir. Kurumlar, bu tür tehditlerin etkilerini azaltmak için sağlam bir izleme altyapısı oluşturmalı ve kullanıcı bilincini artırmaya yönelik eğitimler düzenlemelidir. Sadece teknik çözümlerle yetinmeden, bir bütün olarak siber güvenlik kültürünün geliştirilmesi, etkili bir dolaylı savunmayı mümkün kılacaktır.

Teknik Analiz ve Uygulama

Hedefteki Kasa

Kimlik bilgisi hırsızlığı, modern siber saldırılar arasında önemli bir yer tutar. Bu tür saldırılar genellikle lsass.exe sürecinden elde edilen veriler aracılığıyla gerçekleştirilir. LSASS, oturum açmış kullanıcıların kimlik bilgilerini güncel olarak saklayan bir Windows bileşenidir. Bu nedenle, saldırganların genellikle hedefledikleri ilk nokta burasıdır. Elde edilen bilgilerin, pazarlama ve diğer yöntemlerle bir araya getirilen veri havuzları aracılığıyla kötüye kullanılması söz konusudur. Kimlik bilgilerini ele geçiren bir saldırgan, hedef ağda lateral hareket edebilmek için kritik bileşenlere ihtiyacı vardır; bu da daha yetkili kullanıcıların kimlik izlerini içerir.

Kötü amaçlı yazılımlar yahut mevcut sistem araçları (örneğin, Mimikatz veya Procdump gibi) kullanılarak bu tür bilgilere erişmek mümkündür. Aşağıda, saldırganların sıklıkla kullandığı bazı araçlarla ilgili kısa açıklamalar verilmiştir:

  • Mimikatz: LSASS belleğini analiz ederek açık metin parolaları ve NTLM hash'lerini çıkaran siber dünyanın en ünlü aracı.
  • Procdump: Normalde sistem yöneticileri için üretilmiş bir araç olup, özellikle LSASS'ı kopyalamak için kötüye kullanılan bir meşru araçtır.

Belleği Kopyalamak

Bellek kopyalama işlemi genellikle bir sistem yöneticisi tarafından yönetilen bir süreç olarak düşünülse de, kötü niyetli kullanıcılar bu işlemden faydalanabilir. Bellek dökümünü almak için kullanılan teknik Memory Dump olarak bilinir ve bu işlem, çalışmakta olan bir programın mevcut bellek içeriğini diske kopyalayarak bir .dmp uzantılı dosya oluşturur.

Bir örnek senaryo üzerinden bu süreci göstermek gerekirse, PowerShell kullanarak bellek dökümünü oluşturmak için aşağıdaki komut çalıştırılabilir:

procdump -ma lsass.exe C:\Dumps\lsass.dmp

Yukarıdaki komut, lsass.exe sürecinin bellek içeriğini C:\Dumps\ dizinine kopyalayacaktır. Bu dosya daha sonra kötü niyetli bir kullancı tarafından analiz edilmek üzere kullanılabilir.

Hırsızın Takımları

Kimlik bilgisi hırsızlarının kullanımına yönelik çeşitli ve çeşitli taktikleri vardır. Bunlardan biri Pass-the-Hash (PtH) taktiğidir. Bu strateji, saldırganın kullanıcı parolasını bilmeden sadece çalınan şifrelenmiş özet (hash) değeri ile ağda oturum açmasına dayanır. Dolayısıyla, ağda yetkisiz erişim sağlamak için etkili bir yol sunar.

Anlık Görüntü

Normalde, Windows işletim sistemlerinde hiçbir standart uygulamanın veya servisin lsass.exe sürecinin belleğini okumaya ihtiyacı yoktur. Bu tür bir okuma talebi, PROCESS_VM_READ API çağrısı ile gerçekleştirilirken, her zaman bir alarm durumu oluşturur. EDR sistemleri, başka bir sürecin lsass belleğine okuma istekleri göndermesini şüpheli bir durum olarak işaretler, bu da olası bir kimlik hırsızlığı girişiminin ilk ipucu olabilir.

İzinsiz Erişimi Yakalamak

EDR sistemleri, kimlik hırsızlığını ve olası saldırıları tespit etmek için kritik bir öneme sahiptir. Bu sistemler, anormal davranışları tespit etmede ve bu tür durumları yönetmede oldukça etkili olabilir. Örneğin, lsass sürecinden gelen beklenmedik okuma talepleri sistemi alarm durumu ile uyarır. Aşağıdaki komut, bir EDR sistemi için potansiyel bir tehdidi tespit etmek amacıyla kullanılabilir:

Get-EventLog -LogName Security | Where-Object { $_.EventID -eq 4800 }

Yukarıdaki komut, güvenlik günlüğünde kimlik doğrulama ile ilgili olayları izlemek için temel bir yöntem sunar. Bu tür olaylar, izinsiz erişimin tespit edilmesine yardımcı olabilir.

Donanımsal Zırh

Modern Windows sistemlerinde, LSASS sürecini dışarıdan okunmasını engelleyen bir güvenlik özelliği olan Credential Guard kullanılmaktadır. Bu özellik, donanımsal sanallaştırma tabanlı bir kalkan sağlar ve sisteme daha fazla güvenlik katmanları ekler.

Son olarak, siber güvenlik alanında etkili bir strateji geliştirmek için, tüm bu teknik detayların yanında uygun izleme ve güvenlik uygulamalarının da hayata geçirilmesi gerekmektedir. Kimlik bilgileri koruma amaçlı olarak kullanılacak yetkilendirmelerin, bu tür saldırılara karşı proaktif bir önlem oluşturduğunu unutmamak gerekir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Güvenlik Yorumlama

Kimlik bilgisi hırsızlığı, günümüzde siber güvenlik açısından önemli bir tehdit unsuru oluşturmaktadır. Bu durum, sistemlerdeki kritik verilerin çalınması, kötü niyetli kişilerin ağ içinde hareket etmesi ve verilerin kötüye kullanılması ile sonuçlanabilir. Risk değerlendirmesi, bu tür tehditleri anlamak ve önlemek için büyük bir öneme sahiptir.

Elde Edilen Bulguların Güvenlik Anlamı

Bir siber güvenlik analisti olarak, elde edilen bulguların güvenlik anlamını yorumlamak, çoğu zaman tehditlerin boyutunu belirlemede kritik bir süreçtir. Özellikle, LSASS (Local Security Authority Subsystem Service) sürecinin belleğindeki bilgilerin analizi büyük önem taşır. LSASS, sisteme giriş yapmış olan tüm kullanıcıların kimlik bilgilerini tutar. Eğer bir saldırgan, bu sürecin belleğini kopyalarsa, açık metin parolalarına ve NTLM hash'lere ulaşmış olur. Bu tür durumlar, ağda izinsiz hareket eden kullanıcılar için bir kapı açar.

Örneğin, bir siber güvenlik olayı sırasında aşağıdaki gibi bir bellek döküm raporu elde edilebilir:

PID: 1234
Process Name: lsass.exe
Memory Dump: /path/to/dumpfile.dmp
Captured Credentials: 
- User: admin
- Password Hash: $NTLM$abcdef1234567890abcdef1234567890

Bu verilerin analiz edilmesi, muhtemel bir kimlik hırsızlığı saldırısının tespit edilmesini sağlar.

Yanlış Yapılandırma veya Zafiyetin Etkisi

Yanlış yapılandırmalar veya mevcut sistem zafiyetleri, saldırganlar için büyük fırsatlar sunar. Örneğin, bir EDR (Endpoint Detection and Response) sistemi, başka bir sürecin LSASS belleğine erişim isteğini tespit ettiğinde, bu şüpheli bir etkinlik olarak işaretlenir. Yetkisiz erişim talepleri, çoğu zaman ağ güvenliğini tehdit eden ilk sinyallerdir.

Bir yazılımın düzgün yapılandırılmamış veya eski versiyonlarının kullanılması, bilinen açıkların suistimal edilmesine neden olabilir. Örneğin, birçok işletim sistemi içerisinde güvenlik güncellemeleri (patch) uygulanmadığında, LSASS gibi kritik süreçlere yönelik saldırılar artar.

Sızan Veri ve Topoloji Tespiti

Siber güvenlik durumları, genellikle bazı verilerin sızmasına bağlı olarak gelişir. Sızan veriler arasında kullanıcı parolaları, e-posta bilgileri ve diğer kişisel bilgiler bulunabilir. Örneğin, bir ağda "Pass-the-Hash" saldırı tekniği kullanılarak, sadece çalınan hash ile yetkili kullanıcı gibi davranmak mümkündür.

Bu gibi durumların önlenmesi için, sistem yöneticileri ağ topolojisini iyi analiz etmelidir. Ağa bağlı her bir cihazın güvenlik durumunu sürekli olarak kontrol etmek, olası saldırı vektörlerini minimize eder.

Profesyonel Önlemler ve Hardening Önerileri

Güvenliği artırmak ve kimlik hırsızlığı izlerini önlemek için alınabilecek önlemler arasında aşağıdakiler yer alır:

  1. Kimlik Bilgisi Koruması: Modern Windows sistemlerinde, LSASS sürecinin donanımsal sanallaştırma ile korunması, dışarıdan erişimleri engeller. Bu özellik sayesinde, LSASS sürecine erişim talepleri izinsiz olarak tespit edilir.

  2. Erişim Kontrol Önlemleri: Kullanıcıların sahip olduğu ayrıcalıkları minimumda tutmak, saldırganların potansiyel zararını azaltır. Gereksiz yetkilerin kaldırılması bu bağlamda önemlidir.

  3. Düzenli Güncellemeler: Sistem ve yazılımların sürekli güncel tutulması, bilinen güvenlik açıklarının suistimal edilmesini önler.

  4. Ağ İzleme ve Anomali Tespiti: Anormal davranışların tespiti için sürekli izleme yapılması gerektiği unutulmamalıdır. EDR sistemleri bu anlamda etkili çözümler sunar.

  5. İşletim Sistemi Güvenlik Duvarları: Ağ trafiğinin sürekli olarak filtrelenmesi ve izlenmesi, izinsiz erişimleri ve sızmaları önler.

Sonuç

Kimlik bilgisi hırsızlığı izlerini tespit etme ve önleme süreçleri, siber güvenlik açısından kritik öneme sahiptir. Risklerin doğru bir şekilde değerlendirilmesi, elde edilen bulguların güvenlik yorumlaması ile birleştiğinde, sızma girişimlerine karşı önleyici tedbirler alınmasına olanak tanır. Yanlış yapılandırmalar veya zafiyetler tespit edildiğinde, bu durumlar hızlı bir şekilde ele alınmalı ve profesyonel önlemlerle sistem güvenliği sağlamlaştırılmalıdır. Unutulmamalıdır ki, siber güvenlik bir yolculuktur ve sürekli dikkat ve güncelleme gerektirmektedir.