DoS & DDoS SALDIRILARI

Sıradaki içerik:

DoS & DDoS SALDIRILARI

Mimikatz

40 okunma — 04 Mart 2024 12:00
avatar

Büşra Zümra Karaozan

  • e

    Eğlenmiş

  • e

    Eğlenmiş

  • e

    Şaşırmış

  • e

    Kızgın

  • e

    Üzgün

Mimikatz, Benjamin Delpy tarafından 2007 yılında geliştirilmiştir. Windows işletim sistemi üzerindeki güvenlik açıklarını ve zayıflıkları hedefleyen bir araçtır. Bilgisayar korsanları ve güvenlik uzmanları kullanır. Parolalar ve kimlik bilgileri gibi hassas bilgileri sistemin belleğinden çıkarmak için kullanılan bir araçtır. Amacı Windows kimlik doğrulama bilgilerini (örneğin, parolaları) almak, parolaları çözmek, oturum açma bilgilerini çalmak ve diğer yetkilendirme bilgilerini ele geçirmektir. Kötü aktörler ciddi güvenlik ihlallerine ve hassas ve gizli veri hırsızlığına yol açmak için bu tehlikeli aracı kullanır.

Kullanım Amaçları

  • Parolaları ve kimlik bilgilerini sistem belleğinden çıkararak saldırganın ağlara, sistemlere veya uygulamalara erişmesine olanak tanımak.
  • Kimlik bilgilerini çalarak ve kullanarak çok faktörlü kimlik doğrulama gibi kimlik doğrulama mekanizmalarını atlamayı sağlamak.
  • Saldırganın hassas verilere erişmesine veya başka kötü amaçlı eylemler gerçekleştirmesine olanak tanıyarak sistemdeki ayrıcalıkları arttırmak.
  • Bir ağ içinde yanal hareket ederek saldırganın ek sistemlere veya ağlara erişmesine olanak tanımak.
  • Kerberos biletini başka bir bilgisayara aktararak herhangi bir kullanıcı hesabının kimliğine bürünmelerine ve herhangi bir kaynağa erişmelerine olanak tanımak.
Mimikatz ile alınan bilgiler

Mimikatz aracının sıklıkla kötü amaçlarla kullanılmaması ve sistemlere ve verilere yetkisiz erişimi önlemek için dikkatle izlenmesi gerekmektedir. Buna rağmen, siber güvenlik uzmanları tarafından sızma testi ve adli analiz gibi meşru amaçlarla kullanılabilmektedir.

Kullanıcılar Mimikatz’i yıllar geçtikçe metalaştırdı, genişletti ve çeşitli şekillerde geliştirdi. Resmi yapılar hala GitHub’da tutulmakta ve barındırılmaktadır; https://github.com/gentilkiwi/mimikatz . Bunların yanı sıra, Metasploit, CobaltStrike, Empire, PowerSploit vb diğer popüler sömürü sonrası araçlara da eklenmiştir.

Mimikatz Modüller

Mimikatz, temel işlevlere veya çeşitli saldırı vektörlerine göre birden fazla modülden oluşuyor. Daha yaygın veya kullanılan modüllerden bazıları şunlardır:

  • Kripto: CryptoAPI fonksiyonlarının manipülasyonu. Token kimliğine bürünme ve eski CryptoAPI’ye yama uygulanmasını sağlar.
  • Kerberos: Microsoft Kerberos API ile “Altın Bilet” oluşturmayı sağlar.
  • Lsadump: SAM (Güvenlik Hesabı Yöneticileri) veritabanının manipülasyonunu yönetir. Bunu, canlı bir sisteme karşı veya yedek kovan kopyalarına karşı “çevrimdışı” olarak kullanabilirsiniz. Modüller, LM Hash veya NTLM aracılığıyla şifreye erişime izin verir.
  • İşlem(Process): Çalışan işlemleri listeler (pivotlar için kullanışlı olabilir).
  • Sekurlsa: LSASS’tan (Yerel Güvenlik Otoritesi Alt Sistem Hizmeti) veri çıkarılmasını yönetir. Buna biletler, pin kodları, anahtarlar ve şifreler dahildir.
  • Standart: Aracın ana modülü. Temel komutları ve işlemleri yönetir.
  • Token: Context keşfi ve sınırlı manipülasyon.

Mimikatz’den Korunma Yolları

WDigest’i Devredışı Bırakmak

WDigest, şifrelerinizi saklar ve bu da kötüye kullanım oluşturan bir özelliktir. Bu nedenle, bu kimlik doğrulama protokolünü devre dışı bırakmak, hacker’ların Mimikatz saldırısı başlatma şansını azaltır. WDigest’i devre dışı bırakmak için kayıt defterini düzenleyebilirsiniz. Böylece saldırganlar artık bu zayıflığı kullanarak şifreleri çalmayı başaramazlar.

LSA Koruması

Windows, kullanıcı hesaplarını ve uzak oturum açmalarını doğrulamak için Yerel Güvenlik Otoritesi (LSA) alt sistemlerini kullanır. Hackerlar bu hizmeti kullanarak şifreler ve Kerberos biletleri gibi hassas şifrelenmemiş verilere erişebilirler. LSA koruması, hassas verilere izinsiz erişimi engeller. Bu korumayı etkinleştirmek, LSA işlemine ve veri yapılarına erişimi sınırlayarak, saldırganların Mimikatz saldırılarını başarılı bir şekilde gerçekleştirmelerini daha zor hale getirir.

LSA korumasını etkinleştirmek için aşağıdaki adımları takip edebilirsiniz:

  1. Başlat menüsünden “Çalıştır”ı açın ve “regedit” yazarak Enter tuşuna basın.
  2. Kayıt Defteri Düzenleyicisi’ni açtıktan sonra aşağıdaki yola gidin: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  3. Sağ panelde “RunAsPPL” adında bir DWORD değeri oluşturun.
  4. Oluşturduğunuz değeri çift tıklayarak açın ve “1” değerini girerek onaylayın.
  5. Bilgisayarınızı yeniden başlatın.

Bu adımları takip ederek LSA korumasını etkinleştirip hassas verilere izinsiz erişimi engellersiniz.

Hata Ayıklama Yetkisi

Windows sistemleri yöneticiye sistem hata ayıklama yetkisi verir. Bu nedenle, Mimikatz’ın sistemin belleğinden hassas verileri çıkarmak için hata ayıklama iznine ihtiyacı vardır. Kullanıcı hesaplarından hata ayıklama ayrıcalıklarını kaldırmak, saldırganların Mimikatz saldırılarını gerçekleştirmesini ve şifrelenmiş giriş verilerine ve diğer hassas bilgilere erişimi sınırlamanıza yardımcı olabilir.

Kimlik Bilgisi Önbelleği

Windows, gelecekteki kullanıcı girişlerini hızlandırmak için yerel sistemde giriş kimlik bilgilerini kaydeder. Ancak, siber suçlular yerel sistemlerde Mimikatz saldırıları çalıştırarak bu önbelleğe alınmış kimlik bilgilerine erişebilir. Kimlik bilgisi önbelleğini devre dışı bırakmak, saldırganların depolanan kimlik bilgilerine erişmesini engelleyebilir. Bu da başarılı Mimikatz saldırıları gerçekleştirmelerini daha zor hale getirebilir.

Sistemleri Güncel Tutmak

Windows güvenliğinizin, işletim sisteminizin ve tüm yazılımlarınızın en son güvenlik yamalarıyla güncelleyin. Bu, Mimikatz’ın kullandığı güvenlik açıklarını ortadan kaldırmanıza yardımcı olur.

Güçlü ve Benzersiz Şifreler Kullanmak

Tahmin etmesi veya kırması zor olan güçlü, karmaşık ve benzersiz şifreler kullanın. Hiçbir durumda “password” veya “123456” gibi şifreler kullanmayın.

Çok Faktörlü Doğrulamayı Uygulamak

Hesaplarınıza ve sistemlerinize ek güvenlik amaçlı çoklu faktör doğrulamayı (MFA) kurun. Bu, giriş kimlik bilgilerinizi zaten ellerinde olsa bile hesaplarınızı hacker’lardan korumanıza yardımcı olacaktır.

Yetkili Erişim Yönetimini Kullanmak

Şirketlerin siber güvenlik altyapısına yetkili erişim yönetimini uygulamak, sistem erişiminin izlenmesine ve kontrol edilmesine yardımcı olacaktır. Bu, siber saldırganların sistemlere ve hassas verilere yönetici yetkilerini elde etmesini engelleyebilir.

Anti Malware Yazılımı Kullanmak

Antimalware yazılımını yükleyerek ve düzenli olarak güncelleyerek Mimikatz gibi kötü amaçlı yazılım saldırılarını tespit edebilir ve önleyebilirsiniz.

  • Site İçi Yorumlar

En az 10 karakter gerekli

Gönderdiğiniz yorum moderasyon ekibi tarafından incelendikten sonra yayınlanacaktır.