CyberFlow Logo CyberFlow BLOG
Post Exploitation Windows

Mimikatz ile Kimlik Bilgisi Analizi: Siber Güvenlikte Derinlemesine Bir İnceleme

✍️ Ahmet BİRKAN 📂 Post Exploitation Windows

Mimikatz kullanarak kimlik bilgisi analizi hakkında adım adım rehber. Parola dökme ve Golden Ticket oluşturma gibi teknikler hakkında bilgi edinin.

Mimikatz ile Kimlik Bilgisi Analizi: Siber Güvenlikte Derinlemesine Bir İnceleme

Mimikatz, siber güvenlik eğitimlerinde sıklıkla kullanılan bir araçtır. Bu blog yazısında, Mimikatz ile kimlik bilgisi analizi yapmanın yollarını keşfedeceksiniz. Ayrıcalık yükseltme, parola dökme ve Golden Ticket oluşturma gibi konular ele alınıyor.

Giriş ve Konumlandırma

Mimikatz Nedir?

Mimikatz, siber güvenlik alanında oldukça etkili ve yaygın olarak kullanılan bir araçtır. İlk olarak 2011 yılında Benjamin Delpy tarafından geliştirilen bu araç, Windows işletim sistemlerinde kimlik bilgisi (credential) analizi ve veri toplamak için kullanılır. Mimikatz, sistem belleğinden parolaları, NTLM hash değerlerini ve kullanıcı oturumlarını analiz etmek, ayrıca çeşitli kimlik doğrulama protokollerini manipüle etmek üzere tasarlanmıştır. Özellikle siber saldırılar sırasında bir saldırganın işini kolaylaştıran Mimikatz, aynı zamanda savunma mekanizmalarının test edilmesi için de kritik bir rol oynamaktadır.

Siber Güvenlikte Neden Önemlidir?

Mimikatz’ın özellikleri, siber güvenlik uzmanları için hem risk hem de fırsat sunar. Bir yandan, bu araçlar kötü niyetli aktörler tarafından sistemlere sızmak ve kimlik bilgilerini çalmak için kullanılır. Öte yandan, güvenlik analistleri ve penetrasyon test uzmanları, Mimikatz’ı kullanarak sistemlerinin zayıf noktalarını belirler ve savunma stratejilerini geliştirebilirler. Bu nedenle, Mimikatz gibi araçların işleyişini anlamak, hem saldırıları önlemek hem de manevra kabiliyetini artırmak açısından kritik öneme sahiptir.

Mimikatz’ın kullanımı, siber güvenlikte belirtileri belirleme ve analiz etme yeteneklerini geliştirir. Özellikle saldırı sonrası analiz süreçlerinde, Mimikatz ile elde edilen veriler, güvenlik açığı değerlendirmesi ve tehdit analizi yapmak için kullanılabilir. Bu da, organizasyonların saldırılara karşı daha dayanıklı hale gelmelerine yardımcı olur.

Teknik Araçlarla Güvenlik Zafiyetleri: Pentest ve Savunma

Mimikatz, siber saldırılar gerçekleştiren bad actor'lar için kullanışlı bir araç olmasının yanı sıra, siber güvenliğe olan yaklaşımın yeniden düşünülmesi gerektiğini de gözler önüne serer. Penetrasyon testleri sırasında, Mimikatz kullanılarak şifrelerin ve kimlik bilgilerin güvenliğinin ne denli sağlam olduğu ölçülür. Hedef organizasyonların güvenlik duvarlarını aşmak ve gerçek hayattaki tehdit senaryolarını simüle etmek, siber güvenlik profesyonellerinin, güvenlik önlemlerinin etkinliğini değerlendirmesine olanak tanır.

Bu bağlamda, Mimikatz’ın işleyişindeki temel noktalar arasında ayrıcalıkların yükseltilmesi, parola dökme teknikleri ve Pass-the-Hash (PtH) saldırısıyla ilişkili riskler bulunur. Mimikatz, yeterli yetkiye sahip olduğunda, Windows'un LSA (Local Security Authority) tarafından korunmayan kimlik bilgilerine erişim sağlayabilir. Ayrıca, Active Directory ortamlarında Golden Ticket saldırıları gerçekleştirerek yetkilerinin sınırlarını aşabilir.

Mimikatz ile ilgili bilgi sahibi olmak, sadece bir araç kullanıcısı olmakla kalmaz; aynı zamanda, bu aracın savunma stratejilerinde nasıl kullanılabileceğini anlamak da son derece önemlidir. Zira, modern sistemlerde LSA Protection, Credential Guard gibi koruma mekanizmaları bulunmaktadır ve bu korumalar Mimikatz’a karşı direnç oluşturmaktadır. Ancak bu korumaların aşılması durumunda, ortaya çıkan zafiyet oldukça ciddi sonuçlar doğurabilmektedir.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu blog yazısı serisi boyunca, Mimikatz ile kimlik bilgisi analizinin derinlemesine inceleneceği çeşitli adımlar ele alınacaktır. İlk olarak, araçların nasıl çalıştığını anlamak ve sistem üzerinde nasıl testler yapılabileceğine dair yöntemleri öğrenmek önemlidir. Mimikatz’ın teknik yeteneklerini kavrayarak, okuyucular hem saldırı yöntemlerini hem de bu yöntemlere karşı nasıl savunma yapabileceklerini keşfetmiş olacaklardır.

Ayrıca, her adımda örnek komutlar ve uygulamalar sunulacak; bu sayede okuyucular, Mimikatz’ın potansiyelini daha iyi anlayacak ve siber güvenlikte karşılaştıkları zorluklara daha etkin yanıtlar verebileceklerdir. Mimikatz ile ilgili bu kapsamlı incelemede, araçların kullanımına dair eğitici içgörüler verilecektir.

Sonuç olarak

Mimikatz, modern siber güvenliğin kritik bir unsurunu temsil eder. Bu aracın işleyiş mekanizmalarını ve uygulama alanlarını anlamak, hem saldırı hem de savunma perspektifinde önemli bilgiler sunmaktadır. Siber güvenlik uzmanları için bir zorunluluk olan bu bilgi birikimi, güvenliği artırmak ve siber tehditlerle başa çıkmak için vazgeçilmez bir kaynak oluşturmaktadır.

Teknik Analiz ve Uygulama

Adım 1: Ayrıcalıkları Yükseltme

Mimikatz, Windows işletim sistemi altında çalışabilmesi ve kimlik bilgilerini analiz edebilmesi için belirli izinlere ihtiyaç duyar. Özellikle, debug yetkilerine erişmesi gerekmektedir. Bu yetki genellikle yerel yönetici (Local Admin) yetkisi ile sağlanabilir. Mimikatz'ı başlatmadan önce, gerekli izinleri almak için şu komutu kullanabilirsiniz:

privilege::debug

Bu komut, Mimikatz'ın çalışma sürecinde kritik bellek alanlarına erişim izni kazanmasını sağlar.

Adım 2: Parola Dökme (Dumping) Teknikleri

Mimikatz, sistemdeki oturum açmış kullanıcıların parola bilgilerini çıkarabilmek için çeşitli modüller sunar. sekurlsa::logonpasswords komutu, bellekteki aktif oturumların kullanıcı adı, domain ve açık metin/hash parolalarını döker. Bu bilgiler, saldırganların oturum açma bilgilerini elde etmesine ve sistem üzerinde daha fazla kontrol sağlamasına olanak tanır.

sekurlsa::logonpasswords

Ayrıca, yerel SAM veritabanındaki kullanıcıların NTLM hash değerlerini ele geçirmek için lsadump::sam modülünü kullanabilirsiniz:

lsadump::sam

Adım 3: Pass-the-Hash (PtH) Saldırısı

Mimikatz, bilinen bir NTLM hash değeri kullanarak, kullanıcının kimliğini taklit etmenize olanak tanır. sekurlsa::pth komutu, ele geçirdiğiniz hash değeri ile yeni bir komut süreci başlatmak için kullanılabilir. Örneğin, 'admin' kullanıcısı için aşağıdaki komut dizisi ile bir CMD oturumu açabilirsiniz:

sekurlsa::pth /user:admin /domain:cyberflow.local /ntlm:HASH_DEGERI

Bu komutla, hash değerini kullanarak admin olarak oturum açmış olursunuz, bu da sisteme yetkisiz erişim sağlamaktadır.

Adım 4: LSA Bellek Koruması

Modern Windows sistemleri, Local Security Authority Subsystem Service (LSASS) sürecini korumak için LSA Protection kullanır. Bu koruma, Mimikatz'ın bellek alanlarına müdahale etmesini zorlaştırır. Mimikatz'ın bu sınırlamayı aşabilmesi için kendi sürücüsünü (driver) yüklemesi gerekmektedir. Sürücüyü yüklemek için işletim sistemine uygun modül şu şekildedir:

!+ / mimidrv

Bu komut, Mimikatz'ın çalışması için gerekli olan sürücüyü yüklemesine olanak tanır.

Adım 5: Golden Ticket Oluşturma

Active Directory ortamında krbtgt kullanıcısının hash'ini ele geçirdikten sonra, sınırsız yetkiye sahip sahte bir bilet (Golden Ticket) oluşturabilirsiniz. Bu işlem, ağ üzerinde çok sayıda kaynak ve hizmete erişim sağlar. Golden Ticket oluşturmak için kullanılacak temel komut aşağıdadır:

kerberos::golden

Bu komut, Kerberos bilet sistemi üzerinden sahte kimlik bilgileri oluşturarak, hedef sisteme yetkisiz erişim sağlar.

Adım 6: Mavi Takım: Mimikatz Savunması

Mimikatz gibi güçlü araçlara karşı savunma yöntemleri de geliştirilmiştir. Bu önlemler arasında, WDigest'ı devre dışı bırakmak, LSA Protection (RunAsPPL) kullanmak ve Credential Guard uygulamak yer alır.

  • WDigest Disabling: Windows sistemlerinin açık metin şifreleri bellekte tutmasını engelleyen bir ayar olup, kullanıcı parolalarını güvenli bir şekilde saklamaya yardımcı olur.

  • LSA Protection (RunAsPPL): LSASS süreçlerine sadece imzalı Microsoft süreçlerinin erişmesini sağlayarak bellek okumayı engeller.

  • Credential Guard: Kimlik bilgilerini izole bir sanal alanda (Virtualized Based Security - VBS) saklayarak, Mimikatz'ın erişim alanını kısıtlar.

Bu önlemler, organizasyonların Mimikatz gibi araçlarla yapılan saldırılara karşı koruma seviyelerini artırmalarına yardımcı olmaktadır. Her bir önlem, ayrı ayrı değerlendirilmeli ve organizasyonun güvenlik politikalarıyla uyumlu hale getirilmelidir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Mimikatz kullanarak yapılan kimlik bilgisi analizi, siber güvenlik alanında önemli riskleri ortaya çıkarır. Mimikatz, Windows işletim sistemlerinde yerleşik kimlik doğrulama mekanizmalarını hedef alarak, kullanıcı kimlik bilgilerini elde etmeye yönelik etkili bir araçtır. Bu araç, varsayılan yönetici izinleri ile kullanıldığında, sistem üzerinde ciddi riskler oluşturur. Özellikle, bir yönetici tarafından devreye alınmayan düzgün güvenlik protokolleri ve yapılandırmalar, saldırganların Mimikatz gibi araçları kullanarak yetkisiz erişim elde etmesine zemin hazırlamaktadır.

Örneğin, bir ağda yer alan kullanıcıların şifrelerinin yanında, bu kullanıcıların NTLM hash değerlerinin ele geçirilmesi, "Pass-the-Hash" (PtH) saldırılarına kapı aralar. Bu tür bir saldırıda, saldırgan direkt olarak kullanıcı şifresine ihtiyaç duymadan, yalnızca ele geçirilen hash değerini kullanarak kullanıcının yetkileriyle yeni bir süreç başlatabilir. Bu durum, özellikle zafiyetli sistemlerde kritik bilgilerin çalınmasına neden olabilir.

Yorumlama

Mimikatz ile elde edilen bilgilerin güvenlik anlamı son derece kritiktir. Örneğin, sekurlsa::logonpasswords komutuyla bellekten aktif oturumların kullanıcı adları, şifreleri ve hash değerleri elde edilebilir. Bu tür bilgiler, bir saldırganın sisteminize giriş yapmasına ve yönetimsel yetkilere ulaşmasına olanak tanır. Ayrıca, lsadump::sam komutu kullanılarak yerel kullanıcıların NTLM hash değerleri çözümlenebilir. Bu tür bir zafiyet, ağa bağlı tüm sistemlerde geniş kapsamlı güvenlik açığı yaratır.

Aynı zamanda, Modern Windows sistemlerinin LSASS sürecini koruma amacına yönelik uygulanan "LSA Protection" gibi mekanizmaların atlatılması, siber güvenlik ekiplerinin Mimikatz araçlarına karşı karşılaştığı zorluklardan biridir. Kullanıcıların kimlik bilgilerini koruyabilmek için bu tür güvenlik önlemlerinin etkin bir şekilde uygulanması elzemdir. Eğer söz konusu güvenlik önlemleri devre dışı bırakılmış veya yanlış yapılandırılmışsa, bu durum saldırganların eline önemli bir fırsat geçirebilir.

Savunma Stratejileri

Mimikatz'a karşı etkili bir savunma geliştirmek için çeşitli önlemler alınabilir. İşte bazı temel öneriler:

  1. Lazım olan izinleri sınırlama: Sistemde çalışacak uygulamalara yalnızca gerekli izinlerin verilmesi, potansiyel bir ihlalde zarar görmekten kaçınmaya yardımcı olur. Kullanıcıların sadece rol ve görevleri için gerekli olan minimum yetkileri alması garanti edilmelidir.

  2. LSA Protection ve Credential Guard'ın etkinleştirilmesi: Bu tür güvenlik mekanizmaları, Mimikatz'ın afet alanına girmesini oldukça zorlaştırır. "LSA Protection" sadece imzalı Microsoft süreçlerine erişim izni tanırken, "Credential Guard" kimlik bilgilerini izole edilmiş bir alan içinde saklayarak saldırganlara bu verilere erişim imkanı tanımaz.

  3. WDigest Özelliğinin devre dışı bırakılması: Windows sistemlerinde parolaların bellekte açık bir şekilde tutulmasını engelleyerek, saldırganların parolaları doğrudan elde etmelerine mani olur.

  4. Sürekli Güncellemeler ve Güvenlik Yamanmaları: Yazılım güncellemeleri, bilinen eksiklikleri gidermek için düzenli olarak yapılmalıdır. Sistem güncellemeleri ve yamaları, potansiyel saldırı yüzeylerini azaltma konusunda kritik bir rol oynar.

  5. Eğitim ve Farkındalık: Tüm kullanıcıların siber güvenlik konularında bilinçlendirilmesi, kötü niyetli yazılımlara karşı koruma sağlar. Kullanıcıların femanken şifrelerini paylaşmamaları ve güçlü parolalar kullanmaları teşvik edilmelidir.

Sonuç

Mimikatz gibi araçların siber güvenlik açısından riskleri son derece fazladır. Kullanılan yöntemler, doğru yapılandırmalar ve uygun güvenlik önlemleriyle bu riskler en aza indirilebilir. Siber güvenlik ekiplerinin, bu güçlü araçlara karşı etkili savunma stratejileri uygulaması, söz konusu riskleri bertaraf etmek için büyük önem taşır.