Mimikatz attaklarından korunmak

Mimikatz, her dahili penetrasyon testinde esas olarak parolaları bellekten çıkarma özelliği açısından hayati bir rol oynamaktadır. Ayrıca kötü niyetli saldırgan kişilerin Mimikatz’ı kötücül operasyonlarında yoğun olarak kullandıkları da bilinmektedir. Microsoft, Windows 2008 Server gibi eski işletim sistemlerinde bile uygulanabilecek bir güvenlik düzeltme eki sunsa da, Mimikatz etkilidir ve birçok durumda yanal hareketlere yol açabilir. Buna rağmen, Mimikatz’ın yalnızca yerel yönetici olarak çalıştırıldığında şifreleri dökebileceği de unutulmamalıdır.

Debug Privilege ( Hata Ayıklama Ayrıcalığı )

Debugging, işletim sisteminde veya meydana gelen diğer kernel hatalarını görmek, onarmak ve analiz etmek için kullanılan bir terimdir. Daha detaylı bilgi ve dökümana şu adresten ulaşabilirsiniz . Tıklayınız 
Microsoft’a göre debug işlemini sadece yetkili kullanıcılar yapabilir.

Saldırgan bu ayrıcalığı mimikatz üzerinden şöyle sorgular:

privilege::debug

Bu ayrıcalıkları engellemek veya önlem almak için group policy yönetiminden bu izinleri ayarlayabilirsiniz.

Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Debug programs -> Define these policy settings:

Eğer bu ayrılacalığı kısıtlar veya iptal ederseniz, saldırgan aynı ayrılacalığı sorguladığında aşağıdaki gibi bir hata ile karşılaşır.

WDigest :
WDigest protokolü Windows XP’de tanıtıldı ve kimlik doğrulama için HTTP Protokolü ile kullanılmak üzere tasarlandı. Microsoft bu protokolü varsayılan olarak Windows’un birden çok sürümünde etkinleştirmiştir . (Windows XP – Windows 8.0 ve Windows Server 2003 – Windows Server 2012), bu da düz metin parolaların LSASS ‘nde saklandığı anlamına gelir. Mimikatz, bir saldırganın aşağıdaki bilgileri kullanarak bu kimlik bilgilerini almasına olanak tanıyan LSASS ile etkileşimde bulunabilir:
WDigest hakkında bilgi almak için Tıklayınız 

sekurlsa::wdigest

Windows 8.1, Windows 10, Windows Server 2012 R2 ve Windows Server 2016’da Microsoft bu protokolü varsayılan olarak devre dışı bırakmıştır. Ancak kuruluşunuz Windows 7 ve Windows Server 2008 gibi eski işletim sistemlerini kullanıyorsa. Microsoft, yöneticilerin WDigest protokolünü etkinleştirmesine veya devre dışı bırakmasına izin veren bir yama (KB2871997) yayımlamıştır. Yamayı uyguladıktan sonra WDigest’in kayıt defterinden devre dışı bırakıldığını doğrulamanız önerilir.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

Bu protokolü tamamen devredışı bırakmak için Negotiate ve UseLogonCredential anahtarlarının “0” olarak ayarlanması gerekir.
Fakat Dave Kennedy’nin bloğunda detaylı şekilde açıkladığı gibi ( Tıklayınız )  saldırgan bu kayıt anahtarlarını değiştirebilir, bunun önüne geçmek için bu anahtarların değiştirilip değiştirilmediğini alarmlamalısınız.

Bu anahtar değişikliğini yaptığınızda saldırgan aynı sorguda aşağıdaki hatayı alacaktır.

LSA Protection : 
LSASS ( yerel güvenlik yetkili sunucu servisi ) yani, windows ortamında uzak veya yerel oturum açmak için kullanıcıları doğrulayan yetkilendiren yani kısa parola ile girişleri kontrol eden yöneten servistir.
Saldırganlar, LSA ile iletişime geçmek ve saklanmış clear-text ( düz metin) parolaları almak için aşağıdaki sorguyu kullanır.

sekurlsa::logonPasswords

Microsoft,  Server 2012 R2 ve Windows 8.1’den önceki sistemlerinde LSA korumasının, Mimikatz’ın LSASS işleminin belirli bir bellek konumuna erişmesini engellemesi için etkinleştirilmesi önerir. Bu koruma, RunAsPPL kayıt defteri anahtarı oluşturularak ve aşağıdaki kayıt defteri konumunda 1 değeri ayarlanarak etkinleştirilebilir.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

Bu ayar sağlandığında, saldırgan aşağıdaki gibi bir hata alır;

Restricted Admin Mode: 
Bu konuda daha önce yazmış olduğum makaleyi okumak için Tıklayınız Credential Caching :
Eğer domain ortamında değilseniz ( active directory), windows kimlik doğrulama için parolaları hash şeklinde saklar

 

HKEY_LOCAL_MACHINE\SECURITY\Cache

Mimikatz, aşağıdaki komutu kullanarak bu hash olarak saklanan parolala erişmeye çalışır.

lsadump::cache

Varsayılan olarak windows, son 10 şifrenin hash’ini saklar, aşağıdaki ayarı yaparak bu ayarı deaktif etmeniz gerekmektedir.

Computer Configuration -> Windows Settings -> Local Policy -> Security Options -> Interactive Logon: Number of previous logons to cache -> 0

Saldırgan, aşağıdaki gibi bir hata alacaktır.

Protected User Group : 
Microsoft, server 2012 ile birlikte protected user group olarak adlandırılan yeni bir kullanıcı grubu tanımladı, bu grubun üyeleri doğrudan kerberos kimlik doğrulamasına tabii tutulmakta.
Yetkili kullanıcılarınızı bu grubun üyesi yapmalısınız.

Add-ADGroupMember –Identity 'Protected Users' –Members yetkili01

Sonuç :
Tabii bunlar her zaman yeterli olmayabilir, AppLocker gibi uygulama whitelist’leri oluşturabileceğiniz çeşitli araçlar güvenlik katmanınızı bir kademe yukarı çekecektir.

Yine her zaman çevrimiçi ortam dışına önemli belge ve bilgilerinizi yedeklemeyi unutmayın

Kolay gelsin.
Kaynak : https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.