Giriş

Siber güvenlik dünyasında, özellikle Windows işletim sistemleri söz konusu olduğunda, kimlik bilgisi hırsızlığı (Credential Harvesting) denilince akla gelen ilk araç Mimikatz‘dır. Fransız güvenlik araştırmacısı Benjamin Delpy tarafından geliştirilen bu araç, başlangıçta Windows’un kimlik doğrulama mekanizmalarındaki zayıflıkları ispat etmek amacıyla bir “PoC” (Proof of Concept) projesi olarak ortaya çıkmıştır.

Ancak zamanla, hem sızma testi uzmanlarının hem de siber saldırganların vazgeçilmez bir parçası haline gelmiştir. Mimikatz, Windows sistemlerin bellek yönetimindeki kritik boşlukları kullanarak parolaları açık metin (cleartext), hash veya bilet (ticket) formatında ele geçirebilen çok yönlü bir post-exploitation aracıdır.

Konun Temel Açıklaması

Mimikatz’ın temel işlevi, Windows’un kimlik doğrulama süreçlerinden sorumlu olan LSASS (Local Security Authority Subsystem Service) sürecinin belleğine erişmektir. Windows, kullanıcı deneyimini iyileştirmek için kimlik bilgilerini bellek üzerinde farklı formatlarda depolar.

Mimikatz, yönetici yetkisiyle (Local Admin) çalıştığında bu bellek alanını okuyabilir ve oradaki verileri “dump” ederek dışarı çıkarabilir. Sadece yerel parolaları değil, Active Directory ortamlarındaki Kerberos biletlerini çalma ve sahte bilet (Golden/Silver Ticket) oluşturma kabiliyetine de sahiptir.

Teknik Detaylar ve Kullanım Senaryoları

Mimikatz, modüler bir yapıya sahiptir ve komut satırı üzerinden interaktif olarak kullanılır.

1. LSASS Belleğinden Parola Çıkarma (sekurlsa)

Bu, Mimikatz’ın en ikonik özelliğidir. sekurlsa::logonpasswords komutu çalıştırıldığında, araç LSASS belleğini tarar ve o an oturumu açık olan tüm kullanıcıların bilgilerini listeler.

• WDigest ve TSPKG: Eski Windows sürümlerinde parolalar bellekte açık metin olarak tutulurdu. Mimikatz bu sağlayıcıları zorlayarak veriyi çekebilir.

• NTLM Hash: Parola açık metin olmasa bile NTLM hash değeri alınarak “Pass-the-Hash” saldırılarında kullanılabilir.

2. Kerberos Bilet Saldırıları (Golden & Silver Ticket)

Mimikatz, Active Directory ortamlarında kalıcılık sağlamak için Kerberos protokolünü istismar eder.

• Golden Ticket: Domain kontrolcüsündeki KRBTGT hesabının hash’i ele geçirildiğinde, saldırgan kendisini “Domain Admin” olarak tanımlayan sahte biletler oluşturabilir.

• Silver Ticket: Belirli bir servis (örneğin MSSQL veya CIFS) için sahte bilet oluşturarak o servise yetkisiz erişim sağlar.

3. Kayıt Defteri ve Bellek Analizi (lsadump)

Mimikatz, sistemin SAM (Security Account Manager) veri tabanını ve LSA sırlarını okuyabilir. lsadump::sam komutu ile yerel kullanıcıların hash değerlerini, lsadump::secrets ile servis hesaplarının parolalarını ortaya çıkarabilir.

4. Kriptografik Sertifikaların Çalınması (crypto)

Sistemde yüklü olan ve “dışarı aktarılamaz” olarak işaretlenmiş sertifikaları ve özel anahtarları (private keys) bellekten çıkararak çalabilir.