Mimikatz Nedir?
Mimikatz, Windows işletim sistemlerinde kimlik bilgilerini (parolalar, hash’ler, PIN’ler ve Kerberos biletleri) bellekten çekmek, manipüle etmek veya taklit etmek için kullanılan dünyanın en popüler post-exploitation aracıdır. Başlangıçta Windows’un güvenlik açıklarını ispatlamak için geliştirilen bu araç, LSASS (Yerel Güvenlik Yetkilisi Alt Sistem Servisi) sürecinin belleğine erişerek hassas verileri dışarı aktarır. Golden Ticket ve Pass-the-Hash gibi saldırı tekniklerini otomatikleştirerek siber saldırganların ağ içerisinde yanal hareket etmesini sağlar. Mimikatz’a karşı en etkili savunma, Credential Guard, LSA Protection ve “En Az Yetki İlkesi” (Least Privilege) katmanlarından oluşur.
Windows Privilege Escalation (Yerel Yetki Yükseltme)
Windows işletim sistemlerinde güvenliğin en kritik kırılma noktası, bir saldırganın düşük ayrıcalıklı bir kullanıcı hesabından tam yetkili Administrator veya SYSTEM seviyesine ulaştığı Yerel Yetki Yükseltme (Local Privilege Escalation – LPE) aşamasıdır. Bu geçiş, saldırganın sistemdeki güvenlik mekanizmalarını tamamen devre dışı bırakmasına ve ağ içinde yanal hareket (lateral movement) başlatmasına olanak tanır.
Windows LPE riskleri genellikle üç ana koldan beslenir: Çekirdek (kernel) ve sürücülerdeki yama eksiklikleri, yanlış yapılandırılmış Servis İzinleri (ACL) ve Zamanlanmış Görevler (Scheduled Tasks) gibi operasyonel zayıflıklar. Özellikle servislerin ikili dosyalarına (binary) veya kayıt defteri (registry) anahtarlarına verilen hatalı “yazma” izinleri, saldırgan için doğrudan bir yetki yükseltme kapısıdır.
Kurumsal savunma tarafında bu riski yönetmek; LAPS ile her makinede benzersiz yerel yönetici parolaları kullanmak, “En Az Ayrıcalık” (Least Privilege) prensibini uygulamak ve EDR/SIEM üzerinden şüpheli süreç ağaçlarını izlemekle mümkündür. LPE savunması, yalnızca bir yama yönetimi değil, aynı zamanda sıkı bir sistem sertleştirme (hardening) ve sürekli denetim disiplinidir.
SMB Signing ve Relay Saldırıları
Kurumsal ağların vazgeçilmez protokolü olan SMB (Server Message Block), yanlış yapılandırıldığında saldırganlar için parola kırmaya gerek bırakmayan bir yetki yükseltme kapısına dönüşebilir. Relay saldırıları, bir kullanıcının ağ üzerinde yaptığı kimlik doğrulama isteğinin (özellikle NTLM) araya giren bir saldırgan tarafından yakalanıp başka bir hedef servise iletilmesi (relay edilmesi) prensibine dayanır.
Bu riskin en temel çözümü olan SMB Signing (SMB İmzalama), istemci ve sunucu arasındaki her mesajın kriptografik olarak imzalanarak bütünlüğünün doğrulanmasını sağlar.
Eğer SMB imzalama “zorunlu” (required) değilse, saldırgan araya girerek oturumu manipüle edebilir ve hedef sistemde yetkisiz işlemler gerçekleştirebilir. Özellikle ayrıcalıklı hesapların (Domain Admin vb.) hedef alındığı bu senaryolardan korunmak için; SMB imzalamanın tüm kritik sunucularda zorunlu hale getirilmesi, NTLM kullanımının minimize edilerek Kerberos’a geçiş yapılması ve ağ segmentasyonu ile yanal hareket alanının daraltılması siber dayanıklılık için hayati önem taşır.