CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

LSASS Bellek Dökümü ve Mimikatz Tespiti: Siber Güvenlikte Kritik Noktalar

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

LSASS'nın bellek dökümü ve Mimikatz aracının tespitine dair bilgileri keşfedin. Siber güvenlik uygulamalarınızı güçlendirin.

LSASS Bellek Dökümü ve Mimikatz Tespiti: Siber Güvenlikte Kritik Noktalar

Siber güvenlik dünyasında LSASS belleği ve Mimikatz araçları kritik öneme sahip. Bu yazıda, bellek dökümü, tespit yöntemleri ve savunma stratejilerini öğreneceksiniz.

Giriş ve Konumlandırma

LSASS Nedir?

LSASS (Local Security Authority Subsystem Service), Windows işletim sistemlerinde kullanıcı oturum açma işlemlerini yöneten kritik bir servistir. Kullanıcıların kimlik bilgilerini (parola, hash, bilet vb.) bellekte saklayarak aktif oturumları yönetir. Bu yüzden, LSASS süreci, sistem güvenliği açısından son derece önemli bir bileşendir. İşletim sisteminin güvenliği, bu süreçteki bilgilerin bütünlüğü ve gizliliğine bağlıdır. Bir saldırganın LSASS belleğine erişim sağlaması, tüm sistemin güvenliğini tehlikeye atabilir.

Mimikatz'ın Rolü

Mimikatz, özellikle siber güvenlik alanında yaygın bir şekilde bilinen bir güvenlik aracı olup, LSASS sürecinin belleğinden kimlik bilgilerini çekme kapasitesine sahiptir. Saldırganlar, Mimikatz'ı kullanarak bellekte saklanan parolaları, NTLM hash'lerini ve Kerberos biletlerini ele geçirebilirler. Mimikatz, bu kimlik bilgilerini sızdırarak, yetkisiz erişim sağlama potansiyeline sahiptir.

Mimikatz kullanarak LSASS belleğinden kimlik bilgilerini çekme işlemi:
> sekurlsa::logonpasswords

Bu tür bir eylem, hem sistemler için ciddi bir tehdit oluşturur hem de organizasyonların veri güvenliği ve bütünlüğü açısından önemli riskler taşır.

Bellek Dökümü (Dumping) Mantığı

Bellek dökümü, bir sürecin bellek içeriğinin bir dosyaya kaydedilmesi işlemini ifade eder. Saldırganlar, LSASS sürecinin hafıza dökümünü alarak, hedef sistemdeki kimlik bilgilerini tespit edilmeden incelemeyi amaçlar. Bu işlem, genellikle sistem yöneticiliği veya siber güvenlik uzmanlığı ile ilişkili olan "Procdump" gibi yasal araçlar kullanılarak gerçekleştirilir.

Procdump ile LSASS belleği dökümü alma:
> procdump -ma lsass.exe lsass.dmp

Bu komut, LSASS sürecinin bellek içeriğini "lsass.dmp" dosyasına aktarır. Buradan elde edilen bilgiler, saldırganlar için risk yaratma potansiyeline sahiptir. Bu nedenle, sistem yöneticileri ve siber güvenlik uzmanları, bu tür döküm işlemlerinin denetlenmesini sağlamak için çeşitli kontrol mekanizmaları geliştirmelidir.

Yasal Araçlarla Dumping

Bazı durumlarda, sistem yöneticileri veya güvenlik analistleri, güvenlik tehditlerini tanımlamak veya analiz etmek amacıyla LSASS belleğinin dökümünü alabilir. Ancak, burada dikkat edilmesi gereken nokta, bu işlemin sadece yasal ve etik çerçevede gerçekleştirilmesidir. Bu noktada, Sysinternals araçları ve benzerleri, yetki sahibi kullanıcılar tarafından kullanıldığında faydalı olabilir.

Sysmon Olay Takibi

Sysmon (System Monitor), Windows platformunda sistem olaylarını izleyen bir araçtır. LSASS'a yönelik şüpheli erişimleri tespit etmek için Sysmon tarafından üretilen olay kayıtları kullanılabilir. Örneğin, bir sürecin LSASS sürecine erişim talep etmesi gibi olaylar, Sysmon'un Event ID 10 (ProcessAccess) ile kaydedilir. Bu tür olayların düzenli olarak izlenmesi, potansiyel saldırıları önceden tespit etme açısından önemlidir.

LSA Protection (PPL)

Windows 10 ve sonraki sürümlerinde yer alan "LSA Protection" özelliği, LSASS sürecinin güvenliğini artırmak amacıyla tasarlanmıştır. Bu özellik, yalnızca imzalı ve güvenilir süreçlerin LSASS belleğine erişmesine izin vererek, belleğin dökümünü engeller. Böylece, kimlik bilgilerini korumak ve sızma girişimlerini azaltmak mümkün hale gelir. Ancak, bu koruma mekanizmalarına rağmen, bazı saldırganlar Mimikatz gibi araçlar ile bu güvenlik önlemlerini aşmaya çalışmaktadırlar.

Credential Guard

Kimlik bilgilerini sanallaştırma tabanlı güvenlik (VBS) kullanarak izole bir bellek alanında saklayan ve LSASS sızıntılarını önleyen teknolojiye "Credential Guard" denir. Credential Guard, kimlik bilgilerini daha güvenli bir ortamda saklayarak, saldırganların erişimini zorlaştırır.

Tespit Edici Faktörler

Bir analistin LSASS saldırısını yakalamak için odaklanması gereken bazı anormallikler vardır. Örneğin, istenmeyen veya şüpheli bir süreç tarafından LSASS sürecine erişim talepleri, sistem loglarında düzenli olarak izlenmelidir. Ayrıca, LSASS belleği üzerine yazma veya döküm işlemleriyle ilgili olayların kaydedilmesi de kritik öneme sahiptir.

Bu bağlamda, kullanıcıların ve sistem yöneticilerinin Siber Güvenlik konularında bilinçli olması önemlidir. LSASS ve ona bağlı süreçlerin korunması, siber saldırılara karşı savunmanın temel taşlarından birini oluşturur.

Teknik Analiz ve Uygulama

LSASS Nedir?

Lokasyon ve oturum açma süreçlerini yöneten bir Windows servisi olan LSASS (Local Security Authority Subsystem Service), kullanıcıların güvenlik kimlik bilgilerini bellekte depolamakla sorumludur. LSASS, kullanıcı parolaları ve kullanıcı erişim yetkilerinin yönetiminde kritik bir rol oynar. Saldırganların bu bilgileri elde etme hedefi, dolayısıyla LSASS’ın bellek alanına erişim sağlamak üzerine odaklanmıştır.

Mimikatz'ın Rolü

Mimikatz, LSASS bellek dökümünden kimlik bilgilerini elde etmek için kullanılan açık kaynaklı bir siber güvenlik aracıdır. Genellikle, kullanıcı oturum açma sürecinde LSASS içerisinde saklanan parolaların ve kimlik bilgilerin okunabilir hale getirilmesi amacıyla kullanılır. Mimikatz'ın sağladığı çeşitli komutlar sayesinde, sistemdeki kimlik bilgilerine kolayca erişim sağlanabilir. Örneğin:

mimikatz # sekurlsa::logonpasswords

Bu komut, LSASS belleğinden açık metin parolaları ve NTLM hash'leri çeker.

Bellek Dökümü (Dumping) Mantığı

Bellek dökümü, belli bir sürecin tüm bellek içeriğinin bir dosyaya kaydedilmesi işlemidir. Saldırganlar, LSASS sürecinin bellek dökümünü alarak kimlik bilgilerini tespit edilmeden çevrimdışı olarak incelemeyi hedefler. Bu işlem genellikle Mimikatz gibi araçlarla veya Windows'un yasal aracı olan Procdump ile gerçekleştirilir.

procdump -ma lsass.exe lsass.dmp

Yukarıdaki komut, LSASS sürecinin bellek dökümünü alarak "lsass.dmp" adlı bir dosyaya kaydeder.

Yasal Araçlarla Dumping

LSASS bellek dökümü almak için çeşitli yasal araçlar da mevcuttur. Örneğin, Sysinternals Procdump, LSASS sürecinin bellek dökümünü almak için yaygın olarak kullanılır. Bu tür araçlar kullanılarak yapılan bellek dökümü, tehdit analizi sürecinde önemli bir adım olarak değerlendirilir. Bununla birlikte, bellek dökümü alırken dikkatli olunmalı ve bu işlem şüpheli bir durumda yalnızca yetkili personel tarafından gerçekleştirilmelidir.

Sysmon Olay Takibi

Sysmon, sistem izleme için kullanılan bir Windows aracı olup, etkinlik günlüğü olaylarını kaydeder. LSASS'a yönelik erişim taleplerini tespit etmek için Sysmon olayları kritik öneme sahiptir. Örneğin;

  • Event ID 10: Bir sürecin LSASS'a erişim talebinde bulunduğunu gösterir.
  • Event ID 11: LSASS dökümünün saklandığı dosyanın oluşturulmasını gösterir.

Bu olayları izlemek, LSASS sürecine yönelik şüpheli girişimleri belirlemek için esastır.

LSA Protection (PPL)

LSASS’ı korumanın etkili yollarından biri, LSA Protection (Process Protection Level - PPL) özelliğidir. Bu özellik sayesinde sadece imzalı ve güvenilir süreçlerin LSASS belleğine erişmesine izin verilir. Bu durum, potansiyel saldırganları LSASS bellek dökümüne erişim sağlamaktan alıkoyar.

Credential Guard

Windows Credential Guard, sanallaştırma tabanlı güvenlik (VBS) kullanarak kimlik bilgilerini izole bir bellek alanında saklar. Bu teknoloji, LSASS süreçlerine yönelik bellek sızıntılarını önlemeye yardımcı olur ve böylece kimlik bilgilerinin korunmasına katkı sağlar.

Tespit Edici Faktörler

LSASS saldırılarına dair belirli anormallikler, güvenlik analistlerinin odaklanması gereken hususlardır. Örneğin, kaynakları bilinmeyen bir süreç (Unknown Process) LSASS üzerinde işlem yapmaya çalışıyorsa veya düşük güvenlik derecelerine sahip bir dosya oluşturulmaya çalışılıyorsa bu durum, potansiyel bir saldırıyı işaret edebilir.

Ayrıca,

  • GrantedAccess: 0x1fffff: Bu durum, bir sürecin LSASS üzerinde tam erişim talep ettiğini gösterir ve dikkatlice incelenmelidir.
  • Event ID 4656: Bir nesneye erişim talebi sırasında olay kaydı oluşursa, bu durum saldırı ile ilgili olabilecek başka bir belirti olabilir.

Saldırı Önleme

Saldırıları önlemenin en temel stratejisi, kritik sistemlerde uygulanan önlemlerdir. Debug yetkisinin kısıtlanması, bellek erişimlerinin izlenmesi ve EDR (Endpoint Detection and Response) çözümlerinin gereksinimlerinin karşılanması önemlidir. EDR çözümleri, bellek erişimlerini gerçek zamanlı olarak bloklayabilir ve potansiyel saldırıları anında tespit edebilir.

Mimikatz Driver (mimidrv)

Mimikatz'ın LSA Protection (PPL) korumasını aşmak için kullandığı ve kernel seviyesinde çalışan sürücüsü "mimidrv"dir. Bu sürücü, Mimikatz'ın güvenlik önlemlerini atlatmasını sağlar ve LSASS'ı hedef alarak kimlik bilgilerini çalmak için kullanılır. Mimikatz kullanılırken bu tür sürücülerin varlığının bilinmesi, güvenlik açıklarının tespiti açısından kritik öneme sahiptir.

Bu bölümde, LSASS bellek dökümü ve Mimikatz ile ilgili temel teknik bilgiler, kullanışlı komutlar ve saldırıların tespiti konusunda dikkat edilmesi gereken noktalar ayrıntılı olarak ele alınmıştır. Siber güvenlikte bu unsurlar, etkili bir koruma stratejisi oluşturmak için yönlendirici ve bilgilendirici niteliktedir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Savunma Yaklaşımları

Siber güvenlik alanında, LSASS (Local Security Authority Subsystem Service) bellek dökümü ve Mimikatz aracı ile yapılan saldırılar, etkili bir tehdit analizi yapmak için önem arz etmektedir. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayarak, potansiyel yanlış yapılandırma, zafiyet durumları ve önemli önlemleri inceleyeceğiz.

LSASS Bellek Dökümünün Güvenlik Anlamı

LSASS, Windows işletim sistemi üzerinde kullanıcı oturum açma işlemlerini yöneten bir servistir ve kullanıcı kimlik bilgilerini (parola, hash, Kerberos biletleri vb.) bellekte saklar. Bu nedenle, LSASS belleğine erişim sağlamak, kimlik bilgilerini elde etmenin en etkili yollarından biridir. Saldırganlar genellikle LSASS sürecinin hafıza dökümünü (dump) alarak, kimlik bilgilerini tespit edilmeden, çevrimdışı olarak incelemeyi hedefler.

Bununla birlikte, LSASS belleği, kimlik bilgileri açısından düşündüğümüzde kritik bir hedef haline gelir. Mimikatz gibi araçlarla elde edilen belgeler, kullanıcı erişiminde ciddi sorunlara yol açabilir. Örneğin, aşağıdaki Mimikatz komutları, LSASS belleğinden hassas bilgileri elde etmek için kullanılır:

sekurlsa::logonpasswords

Yukarıdaki komut açık metin (clear-text) parolaları ve NTLM hash'lerini çekerken, aşağıdaki komut ise Kerberos biletlerini dışarı aktarabilir:

sekurlsa::tickets

Zafiyetler ve Yanlış Yapılandırmalar

Elde edilen bulgularla birlikte, sistemin güvenliği açısından dikkat edilmesi gereken birkaç zafiyet veya yanlış yapılandırma durumu ortaya çıkabilir. Özellikle, LSASS’a erişim taleplerinin loglanmaması veya yetersiz loglama, tehditlerin tespit edilme olasılığını azaltır. Örneğin, aşağıdaki olay ID’leri, LSASS üzerinde yapılan erişim taleplerini gözlemlemek için kullanılabilir:

  • Event ID 10 (ProcessAccess): Bir sürecin LSASS sürecine erişim talebinde bulunduğunu gösterir.
  • Event ID 4656: Bir nesneye erişim talebi sırasında meydana gelen Windows güvenlik kaydı.

Yanlış yapılandırmalar ayrıca, sistemin Debug yetkilerinin kısıtlanmaması gibi durumları da içerir, bu da saldırganların Mimikatz gibi araçları kullanmasını kolaylaştırabilir. Sistem üzerinde sınırsız erişim sağlayan durumlar da saldırılara açık makas oluşturur.

Savunma Önlemleri ve Hardening Önerileri

Siber tehditlere karşı etkili bir savunma oluşturmak için çeşitli önlemler alınabilir. Bu önlemler, sistem güvenliğini artırmanın yanı sıra, LSASS'a yönelik doğrudan saldırıları da önleyebilir.

  1. LSA Protection (PPL): Bu özellik, yalnızca imzalı ve güvenilir süreçlerin LSASS belleğine erişmesine izin vererek dumping işlemlerini engeller. Bu tür bir yapılandırma, bellek dökümü işlemlerini zorlaştırır.

  2. Credential Guard: Sanallaştırma tabanlı güvenlik (VBS) kullanarak kimlik bilgilerini izole bir bellek alanında saklar. Bu sayede, LSASS sızıntılarını önler.

  3. Yetki Kısıtlamaları: Sistem üzerinde Debug yetkisi kısıtlanmalı ve ekstra erişim haklarına sahip kullanıcılar gözden geçirilmelidir. Gerekirse, yetkiler azaltılmalı ve belirli kullanıcı gruplarıyla sınırlandırılmalıdır.

  4. EDR Çözümleri: Endpoint Detection and Response (EDR) çözümleri, belleğe yapılan erişimleri gerçek zamanlı olarak izleyebilir ve gerektiğinde bloklayabilir. Bu, saldırganların bellek dökümü almasını zorlaştıracaktır.

  5. Olay İzleme: LSASS üzerinde meydana gelen tüm erişim taleplerini izlemek ve gerektiğinde önlem almak, güvenlik izleme için hayati öneme sahiptir. Olay günlükleri düzenli aralıklarla kontrol edilmelidir.

Sonuç

Sonuç olarak, LSASS bellek dökümü ve Mimikatz gibi araçların tespiti, siber güvenlik alanında dikkate alınması gereken önemli bir konudur. Yanlış yapılandırmalar ve potansiyel zafiyetler, sistem güvenliğinde ciddi tehditler oluşturabilmektedir. Ancak, önerilen savunma önlemleri ile siber tehditlerin etkisi minimize edilebilir. Güçlü bir güvenlik duruşu için proaktif önlemler almak ve sürekli izleme ve değerlendirme yapmak kritik önem taşımaktadır.