Siber Saldırılarda Mimikatz Kullanımı

Mimikatz, Benjamin Delpy tarafından geliştirilen ve genellikle siber güvenlik alanında kullanılan bir araçtır. Bu araç, Windows işletim sistemlerinde çalışan Lsass.exe (Local Security Authority Subsystem Service) sürecinden parolaları ve hash’leri çıkarmak gibi çeşitli işlevler sunar. Bu yetenekler, saldırganların sistemdeki yetkili kullanıcı hesaplarına erişmesini sağlar. Mimikatz, aşağıdaki alanlarda kullanılır:

1. Sızma Testleri (Pentest): Güvenlik uzmanları, sistemlerin güvenlik açıklarını test etmek için Mimikatz’i kullanır. Bu araç, saldırganların hangi yöntemleri kullanabileceğini göstererek güvenlik zafiyetlerinin giderilmesine yardımcı olur.
2. Adli Bilişim: Bilgisayar adli tıp uzmanları, bir sistemde gerçekleşen güvenlik ihlallerini araştırırken Mimikatz’i kullanarak saldırganların ne tür verilere erişmiş olabileceğini belirler.
3. Kırmızı Takım Operasyonları: Saldırgan rolündeki güvenlik uzmanları, kurum içindeki güvenlik açıklarını belirlemek ve güvenlik önlemlerini test etmek için Mimikatz’i kullanır.

Windows Sistemlerinde Parola Saklama Mekanizması ve Mimikatz’in Çalışma Prensibi

Windows sistemlerinde bir kullanıcı oturum açtığında, bu kullanıcıyı doğrulayan süreç Lsass.exe‘dir. Kullanıcı parolasını sistem içindeki SAM (Security Account Manager) dosyası veya Active Directory kullanarak doğrulayan Lsass, parolanın doğru olup olmadığını kontrol eder. Eğer parola doğruysa kullanıcı sisteme giriş yapar.

• NTLM Hash: Kullanıcının parolası, oturum boyunca bellekte NTLM (NT LAN Manager) hash formatında saklanır. Bu hash, parolanın şifrelenmiş bir temsilidir ve Lsass süreci tarafından bellek alanında tutulur.

Mimikatz ve benzeri araçlar, bellekteki bu NTLM hash’lerini çıkararak saldırganların bu hash’leri kullanarak sisteme erişimini sağlar. Saldırganlar, bu hash’leri kullanarak “pass-the-hash” saldırıları gerçekleştirebilir, yani parolanın kendisini bilmeden hash kullanarak kimlik doğrulama yapabilirler.

Pass-the-Hash Saldırısı Nedir?

Pass-the-Hash (PtH) saldırısı, saldırganların kullanıcı parolasını bilmeden, parolanın hash değeriyle kimlik doğrulama yapmasına olanak tanır. Bu saldırı, özellikle Windows tabanlı ağlarda yaygındır ve şu şekilde çalışır:

1. Hash Elde Etme: Saldırgan, bir sistemde oturum açmış bir kullanıcının NTLM veya LanMan (LM) hash’ini ele geçirir. Bu hash’ler, genellikle Lsass.exe sürecinden veya SAM dosyasından elde edilir. Mimikatz gibi araçlar, bu hash’leri bellekten çıkarmak için kullanılır.
2. Kimlik Doğrulama: Saldırgan, ele geçirilen hash’i kullanarak başka bir sisteme oturum açar. Bu aşamada, parola yerine doğrudan hash değeri kullanılır. Kimlik doğrulama işlemi, hash’in doğru olup olmadığını kontrol eder ve başarılı bir doğrulama durumunda saldırgan sisteme erişim sağlar.
3. Lateral Movement: Saldırgan, ele geçirilen hash’i kullanarak ağ içinde yatay hareket eder. Farklı sistemlere erişim sağlayarak ağdaki diğer cihazlara, verilere ve kaynaklara ulaşır.

Pass-the-Hash Saldırısından Korunmanın 4 Yolu

1. Güçlü Parola Politikaları ve Hesap Yönetimi:

   • Güçlü ve karmaşık parolalar kullanmak.
   • Parolaları düzenli olarak değiştirmek.
   • Hesap kilitleme politikaları uygulamak.

2. Çok Faktörlü Kimlik Doğrulama (MFA):

   • Parola dışındaki ek doğrulama yöntemlerini kullanarak güvenlik katmanlarını artırmak.

3. Sistem ve Yazılım Güncellemeleri:

   • Tüm sistemleri ve yazılımları düzenli olarak güncelleyerek bilinen güvenlik açıklarını kapatmak.

4. Gelişmiş Güvenlik İzleme ve Tehdit Tespiti:

   • SIEM, EDR ve XDR çözümleri ile sistemleri sürekli izlemek.
   • Tehdit avcılığı ve anomali tespiti yöntemleri kullanmak.

Mimikatz ile Saldırıya Uğrayan Bir Şirket Bunu Nasıl Tespit Eder ve Önüne Geçer?

Tehdit Tespiti:

• EDR/XDR Kullanımı: Endpoint Detection and Response (EDR) veya Extended Detection and Response (XDR) çözümleri, uç noktalarda oluşan şüpheli hareketleri tespit edebilir. Bu sistemler, telemetri verilerini toplayarak anormal davranışları izler ve tehditleri belirler.
• Threat Hunting: Proaktif olarak tehdit avcılığı yapmak, Mimikatz gibi araçların kullanımını tespit etmek için önemlidir. Güvenlik ekipleri, belirli senaryoları simüle ederek ve elde edilen verileri analiz ederek saldırıları erken tespit edebilir.
• SIEM İzleme: Security Information and Event Management (SIEM) sistemleri, sistem olaylarını toplar ve analiz eder. Özellikle Mimikatz’in çalıştırdığı belirli komut setlerini (örneğin, sekurlsa::logonpasswords, lsadump::sam) izleyerek anomali durumlarını tespit etmek mümkündür.

Önleme Yöntemleri:

• Parola Politikaları: Güçlü ve karmaşık parola politikaları uygulamak, saldırganların parolaları ele geçirmesini zorlaştırır.
• Çok Faktörlü Kimlik Doğrulama (MFA): MFA kullanarak, sadece parolaya dayalı kimlik doğrulamanın ötesine geçilir ve ek güvenlik katmanları sağlanır.
• Güncelleme ve Yama Yönetimi: Sistemlerin ve yazılımların düzenli olarak güncellenmesi, bilinen güvenlik açıklarının kapatılmasını sağlar.
• Eğitim ve Farkındalık: Çalışanları sosyal mühendislik saldırıları ve kimlik avı e-postaları konusunda eğitmek, saldırıların başarı şansını azaltır.

Riskler ve Tehditler

• Yetkisiz Erişim: Mimikatz kullanılarak elde edilen parolalar ve hash’ler, saldırganların yetkisiz erişim sağlamasına olanak tanır.
• Veri İhlali: Yetkisiz erişim sonucu kritik veriler ele geçirilebilir, bu da büyük veri ihlallerine yol açabilir.
• Finansal Kayıplar: Veri ihlalleri ve yetkisiz erişimler, kurumlara ciddi finansal zararlar verebilir.
• İtibar Kaybı: Bir saldırı sonucunda ortaya çıkan veri ihlalleri, şirketin itibarına ciddi zararlar verebilir ve müşteri güvenini sarsabilir.

Mimikatz, siber güvenlik dünyasında hem savunma hem de saldırı amaçlı kullanılan güçlü bir araçtır. Kurumlar, bu tür araçlara karşı savunma mekanizmalarını güçlendirerek, proaktif güvenlik önlemleri alarak ve sürekli olarak güvenlik açıklarını izleyerek kendilerini koruyabilirler. SIEM, EDR/XDR ve threat hunting gibi yöntemler, Mimikatz ve benzeri araçların kullanımını tespit edip önlemek için kritik öneme sahiptir.