Mimikatz Nedir?
Mimikatz, Windows işletim sistemlerinde kimlik bilgilerini (parolalar, hash’ler, PIN’ler ve Kerberos biletleri) bellekten çekmek, manipüle etmek veya taklit etmek için kullanılan dünyanın en popüler post-exploitation aracıdır. Başlangıçta Windows’un güvenlik açıklarını ispatlamak için geliştirilen bu araç, LSASS (Yerel Güvenlik Yetkilisi Alt Sistem Servisi) sürecinin belleğine erişerek hassas verileri dışarı aktarır. Golden Ticket ve Pass-the-Hash gibi saldırı tekniklerini otomatikleştirerek siber saldırganların ağ içerisinde yanal hareket etmesini sağlar. Mimikatz’a karşı en etkili savunma, Credential Guard, LSA Protection ve “En Az Yetki İlkesi” (Least Privilege) katmanlarından oluşur.
Yatay Hareket (Lateral Movement) Teknikleri
Yatay Hareket (Lateral Movement), bir saldırganın ağa ilk giriş noktasını sağladıktan sonra, asıl hedefi olan kritik verilere veya sistem yöneticisi yetkilerine ulaşmak amacıyla ağ içerisindeki diğer sistemlere sızma sürecidir. Bu süreç; Keşif, Kimlik Bilgisi Avcılığı ve Erişim/Yayılma döngüsünden oluşur. Saldırganlar genellikle parolaların özet değerlerini kullanan Pass-the-Hash veya Kerberos protokolünü hedef alan Pass-the-Ticket gibi tekniklerin yanı sıra, meşru yönetim araçlarını (WMI, PowerShell Remoting) suistimal ederek iz bırakmadan ilerlemeyi hedefler. Etkili bir savunma için ağ segmentasyonu, LAPS kullanımı ve “Sıfır Güven” (Zero Trust) mimarisi hayati önem taşır.
Pass-the-Hash ve Pass-the-Ticket Saldırıları: Kimlik Doğrulama Mekanizmalarına Yönelik Tehditler
Kurumsal ağ güvenliğinde en büyük risklerden biri, saldırganın kullanıcı parolasını hiç bilmeden, sistemde geçerli bir kimlik doğrulaması yapabilmesidir. Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT), Windows kimlik doğrulama mekanizmalarının çalışma prensiplerini istismar ederek yetkisiz erişim elde etmeyi sağlayan sinsi saldırı vektörleridir.
Pass-the-Hash, Windows’un NTLM protokolünü hedef alır. Saldırgan, bir sistemin belleğinden (LSASS süreci gibi) elde ettiği parola hash değerini, parolanın kendisiymiş gibi kullanarak ağdaki diğer makinelere giriş yapabilir.
Pass-the-Ticket ise Kerberos protokolüne odaklanır. Burada saldırgan, parolanın hash değerini değil, kullanıcının o anki oturumu için oluşturulmuş olan ve bellekte saklanan Kerberos biletlerini (TGT/TGS) çalar. Bu biletleri kendi oturumuna “enjekte ederek”, Active Directory ortamında yasal bir kullanıcı gibi dolaşabilir.
Bu saldırılara karşı en etkili savunma; Windows Credential Guard kullanarak kimlik bilgilerini izole etmek, yerel yönetici parolalarını LAPS ile benzersiz kılmak ve ağ içerisinde ayrıcalıklı hesapların (Domain Admin gibi) düşük güvenlikli makinelerde oturum açmasını engelleyen “Tiered Administration” (Kademeli Yönetim) modelini benimsemektir. Kimlik hırsızlığı, sadece parolanın çalınması değil, o parolayı temsil eden her türlü dijital izin belgesinin (token/hash/ticket) ele geçirilmesidir.