Mimikatz ve WCE Gibi RAM Üzerinden Parolanın Açık Halini Ele Geçirebilen Araçlara Karşı Alınabilecek Önlemler

Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, RAM üzerinden parolaların ele geçirilmesi tehdidine karşı alınabilecek önlemler incelenecektir.

Oturum açmak için yazdığımız kullanıcı adı ve parola gibi bilgiler, belleğe (RAM) yüklenen ve kimlik doğrulama işleminde görev alan bazı kütüphane dosyalarında şifreli olarak saklanmakta ve bu bilgiler kimlik doğrulama işlemleri sırasında işlenmektedir. Bunun yanında Mimikatz / WCE gibi bazı araçlar RAM üzerinde tutulan şifreli parolayı ve şifreleme anahtarını elde ederek, şifreli parolayı deşifre etmekte, böylece parolanın açık olarak elde edilmesini sağlamaktadır. Bu saldırıyı zorlaştırmak ve önlemek için alınması tavsiye edilen bir takım aksiyonlar bulunmaktadır. Bu tavsiyeler 6 ana başlık altında toplanacak olup, yazının sonunda ise tavsiyeler özetlenecektir. Aşağıdaki başlıklardaki durumlar anlatılırken, SIRKET adlı bir etki alanına sahip bir kurumda PC1 adlı bir bilgisayarın ele geçirildiği varsayılıp, belli senaryolar üzerinden gidilecektir. Bu senaryolardaki bazı varlıklar aşağıdaki gibidir.

  • SIRKET: Kurumdaki etki alanının (Domain) adı
  • SRV1: Etki alanı denetleyicisi (Domain Controller)
  • EaYoneticisi1: Etki alanındaki bir kullanıcı (Domain User)
  • PC1: Saldırgan tarafından ele geçirilen etki alanı bilgisayarı (Domain Computer)
  • Kurban ve YerelKullanici: PC1 bilgisayarındaki yerel kullanıcılar (Local User)

Başlıklar ve alt başlıklar altındaki her bir senaryo uygulanırken bilgisayar yeniden başlatılmıştır. Bu sebeple, her senaryo birbirinden bağımsız olarak düşünülmelidir.

Bunun yanında senaryolara ait ekran görüntülerinde bazı kontrol araçları kullanılmıştır. Bu araçlar ve araçların kullanılmasındaki amaçlar şu şekildedir:

  • Mimikatz: PC1 bilgisayarından hangi kullanıcılara ait parolaların açık olarak elde edilip edilemediği kontrol edilir.
  • Görev Yöneticisi – Kullanıcılar Sekmesi (Task Manager – Users) ve Qwinsta: PC1 bilgisayarındaki oturumları ve oturum durumlarını listelemek için kullanılmıştır.
  • Netstat: PC1 bilgisayarına SRV1 bilgisayarından olan bağlantıları listelemek için kullanılmıştır.
  • Tasklist: PC1 bilgisayarında EAYoneticisi1 adlı kullanıcı tarafından oluşturulan prosesleri listelemek için kullanılmıştır.

Bu ön bilgilerden sonra başlıklar, alt başlıklar ve senaryolar incelenebilir.

 

A) Oturum Sonlandırma İşlemleri

Bir makinede oturum açma işlemi temel olarak konsol üzerinden etkileşimli oturumla veya uzak masaüstü oturumuyla gerçekleştirilebilir. Bu oturumlardan çıkış yapılırken kullanıcı değiştirme (switch user), uzak bağlantıyı kesme (disconnect), oturumu kapatma (log off) veya bilgisayarı yeniden başlatma / kapatma (restart / shutdown) gibi yollar izlenebilir.

A.1) Kullanıcı Değiştirme (Switch User)

PC1 üzerinde Sirket\EaYoneticisi1 adlı kullanıcı oturumunu açıp işlemlerini tamamladıktan sonra kullanıcı değiştirme seçeneği kullanılarak oturumundan çıkış yapmıştır. Daha sonra PC1\Kurban adlı kullanıcı ile oturum açılmıştır. Bu durumda her iki kullanıcının parolasının elde edilebildiği görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-01

Şekil – 1: Kullanıcı Değiştirme Yöntemi ile Oturum Sonlandırma

 

Yorum: Oturum sonlandırmak için oturumu değiştir seçeneği kullanılmamalıdır.

A.2) Oturum Bağlantısının Düşmesi (Disconect Your Session Immediately)

PC1\YerelKullanıcı adlı kullanıcı ile oturum açık durumda iken, Sirket\EaYoneticisi1 adlı kullanıcı uzak masaüstü erişimi gerçekleştirmiştir. Varsayılan olarak bir istemcide bir konsol açık olabildiği için, PC1\YerelKullanici adlı kullanıcının oturumu düşmüştür. Bu durumda her iki kullanıcının parolasının elde edilebildiği görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-02

Şekil – 2: Oturum Düşürme Yöntemi ile Oturum Sonlandırma

 

Yorum: Oturum düştüğünde parolalar elde edilebilmektedir.

A.3) Uzak Masaüstü Bağlantısını Kesme (Disconnect)

Bir önceki senaryo ile aynı adımlar izlendikten sonra Sirket\EaYoneticisi1 adlı kullanıcı uzak masaüstü oturumunu sonlandırmak için bağlantıyı kes (Disconnect) seçeneğini kullanmaktadır.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-03

Şekil – 3: Oturumu Sonlandırma İşlemi

 

Daha sonra PC1\YerelKullanici adlı kullanıcı ile tekrar oturum açılmaktadır (Bu işlem yerine Sirket\EaYoneticisi1 adlı kullanıcının oturumu aktifken, PC1\YerelKullanici adlı kullanıcı ile tekrar oturum açarak uzak masaüstü erişimi de kesilebilirdi.). Bu durumda her iki kullanıcının parolasının elde edilebildiği görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-04

Şekil – 4: Oturumu Sonlandırma Yöntemi ile Oturum Sonlandırma

 

Yorum: Oturum sonlandırmak için bağlantıyı kes seçeneği kullanılmamalıdır.

A.4) Oturumu Kapatma (Log off)

Sirket\EaYoneticisi1 adlı kullanıcı oturum açtıktan sonra oturumunu kapatmaktadır (log off). Sonrasında PC1\Kurban adlı kullanıcı ile oturum açılmakta ve bu oturum da kapatılmaktadır (log off). Daha sonrasında ise PC1\YerelKullanici adlı üçüncü kullanıcı ile oturum açılmıştır. Bu durumda PC1\Kurban adlı kullanıcının parolası alınamamışken, Sirket\EaYoneticisi1 ve PC1\YerelKullanici adlı kullanıcıların parolalarının elde edilebildiği görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-05

Şekil – 5: Oturumu Kapatma Yöntemi ile Oturum Sonlandırma – 1

 

Yorum: Oturum sonlandırmak için oturumu kapatma seçeneği kullanılmamalıdır.

Not: Aynı adımlar takip edilip bir kere daha deneme yapıldığında ise Sirket\EAYoneticisi1 adlı kullanıcının da parolası elde edilememiş, sadece PC1\YerelKullanici parolası elde edilebilmiştir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-06

Şekil – 6: Oturumu Kapatma Yöntemi ile Oturum Sonlandırma – 2

 

Yorum: Bazı durumlarda oturumu sonlandırmak için oturumu kapat (log off) seçeneği yeterli oluyorken, her zaman için bu durum doğru olmayabilmektedir. Bu sebeple bilgisayarı yeniden başlatmak (restart) veya kapattıktan sonra (shutdown) yeniden açmak parolanın bellek üzerinden elde edilmesini önlemek için en garanti çözüm olmaktadır.

 

B) Güvenli Parola Kullanımı

Bu başlık altında parolaların güçlü olmasının RAM üzerinden parolaların elde edilmesi üzerindeki etkisi üzerinde durulacaktır.

B.1) Parola Uzunluğu ve Karmaşıklığı

Bu senaryoda PC1\YerelKullanici adlı kullancının parolası (Siber123.Guvenlik?) 18 karakter olarak oluşturulmuş, içerisinde büyük/küçük harf, sayı ve noktalama işaretleri kullanılmıştır. Oldukça karmaşık gibi görünen bu parola bellek üzerinden elde edilebilmiştir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-07

Şekil – 7: Uzun ve Karmaşık Parola Kullanımı – 1

 

Yorum: Karmaşık ve uzun parolaların kullanılması birçok saldırı için en kritik adımlardan birisidir. Ancak parolaların bellek üzerinden elde edilmesi için yeterli olmamaktadır.

B.2) Parolada Daha Özel Karakterlerin Kullanılması

Parola oluşturulurken karmaşıklığı arttırmak için karakter kümesi arttırılabilir. Bu amaçla daha karmaşık karakterler kullanılarak PC1\Kurban adlı kullanıcı için yeni bir parola (SiberæGuvenlik€123) belirlenmiştir. Oldukça karmaşık gibi görünen bu parola bellek üzerinden kısmen elde edilebilmiştir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-08

Şekil – 8: Uzun ve Karmaşık Parola Kullanımı – 2

 

Ekran görüntüsünde de görüldüğü gibi, € (euro) karakteri yerine ? (soru işareti) karakteri gelmektedir. Parolanın tamamı elde edilemediği düşünüldüğünde, saldırganın işinin kısmen zorlaştırılmış olduğu düşünülebilir. Ancak saldırgan, kısmen elde ettiği parolanın kalan karakterlerini tahmin yöntemi kullanılarak (é, è, ê, ë, £, ?, … gibi) da tespit edilebilir. Bunun yanında aracın çalıştırıldığı komut satırı yazı formatı değiştirilerek de parola çok kolay bir şekilde edilebilir. Bu işlem için komut satırı özelliklerinden Yazı sekmesine gelerek Lucida Console gibi bir formatın seçilmesi yeterli olacaktır.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-09

Şekil – 9: Komut Satırı Font Değişikliği

 

Böylece parola özel kullanılan formatlar da dahil olmak üzere tamamen elde edilebilmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-10

Şekil – 10: Font Değişikliği Sonrası Uzun ve Karmaşık Parola Kullanımı

 

Not: ALT tuşu ile kombinasyon oluşturan sayıların kullanımı bağlantıdaki gibidir.

Yorum: Parola karmaşıklığı, parolanın bellek üzerinden elde edilmesi için yeterli olmamaktadır. Ancak parola güvenliği için aşağıdaki sıkılaştırma işlemlerinin gerçekleştirilmesi tavsiye edilmektedir:

  • Parolalar en az 10 karakter uzunlukta ve karmaşık olarak belirlenmelidir.
  • Parolalar en fazla 2 ayda bir değiştirilmelidir.
  • Oluşturulan parolalar birbirinden farklı, birbiriyle ilişkisiz ve başka yerlerde (forum, kişisel mail gibi) kullanılmayan parolalardan oluşmalıdır.
  • Parola politikalarında LM özetin kullanılması önlenmelidir. “Network security: Do not store LAN Manager hash value on next password change” ilkesi etkin olmalıdır. Bu işlem için Kayıt Defteri’nde “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash” değeri 1 de yapılabilir.
  • Parola güvenliği ve güvenilir parola oluşturma ile ilgili Bilgimi Koruyorum sayfası incelenebilir.

Not: Parola oluşturulurken kullanılan sistemlerin oluşturulan parolaları destekleyip desteklemediği test edilmelidir.

 

C) Kullanılmayan Kütüphanelerin (DLL) Kaldırılması

Windows işletim sistemindeki kimlik doğrulama paketleri LSA (Local Security Authority) tarafından belleğe yüklenir. LSA, hangi DLL dosyalarını yükleyeceğini kayıt defterindeki “HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages” kaydından alır. Bu kayıtta bulunmayan paketler belleğe yüklenmeyecektir. Varsayılan durumda bir PC1 gibi Windows 7 işletim sistemi yüklü bir bilgisayarda Security Packages değerinin altında 6 DLL mevcuttur: kerberos, msv1_0, schannel, wdigest, tspkg, pku2u. Her bir DDL kimlik doğrulamasında bir takım işlemler gerçekleştirmek için görevlidir. Örneğin, tsPkg bilgsayarlar arasında parola sorgusu gerçekleştirmeden erişim için gereklidir. Bu güvenlik paketinin kaldırılması MS12-020 gibi DOS zafiyetine sahip olan bilgisayarlar için tavsiye edilmektedir. Ancak, Hyper V gibi bazı sistemlerde oturum işlemleri için bu DLL yüklenmek belleğe yüklenmek zorundadır. Bir diğer kimlik doğrulama paketi olan wdigest ise, OWA (Outlook Web Access) gibi uygulamalar için LM/NTLM ile ağ üzerinden kimlik doğrulaması için kullanılır. Etki alanındaki en önemli güvenlik paketlerinden birisi olan kerberos ise, belirlenen bir süre sonunda (10 saat gibi) hesap önbiletinin (TGT) yenilenmesi için gereklidir. Bilgisayarlarda bu şekilde parola ve parola özetlerinin şifreli tutulmasının nedeni, ağ üzerinden yapılan standart kimlik doğrulama protokollerini (Kerberos, NTLM/LM sorgulama-cevaplama gibi) desteklemeyen servislerin her defasında şifre sormasını engellemek, yani bu servislere SSO desteği kazandırmaktır. Böylece bu servisler parolanın veya özetinin açık hali gerektiği zaman RAM üzerinden şifre çözme işlemi gerçekleştirilir ve servise açık halde verilir. Servis de bu bilgiyi kullanarak kendi işlevini yerine getirir.

Bu başlıkta, PC1 bilgisayarından Mimikatz aracının parolaları açık olarak ele geçiremediği 3 güvenlik paketi (msv1_0, schannel, pku2u) bırakılmış, diğerleri (kerberos, wdigest, tspkg) ise silinmiştir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-11

Şekil – 11: Güvenlik Paketleri

 

Daha sonra bilgisayar yeniden başlatılmıştır. Bu başlık altındaki senaryolar 3 güvenlik paketi (kerberos, wdigest, tspkg) silinmiş olduğu durumda gerçekleştirilmiştir.

C.1) Uzak Masaüstü Bağlantısı Denemesi

PC1 bilgisayarına port taraması gerçekleştirilmiştir. Bu durumda uzaktan masaüstü erişim portunun (3389) açık olduğu görülmektedir

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-12

Şekil – 12: Güvenlik Paketlerinin Silinmesi Sonrası Uzak Masaüstü Servis Kontrolü

 

Ancak, PC1 bilgisayarına uzak masaüstü bağlantısının gerçekleştirilemediği görülmüştür.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-13

Şekil – 13: Güvenlik Paketlerinin Silinmesi Sonrası Uzak Masaüstü Denemesi

 

Yorum: Bazı kimlik doğrulama paketlerinin silinmesi istenmeyen durumların ortaya çıkmasına sebep olabilir.

C.2) 14 Karakterden Daha Kısa Uzunluktaki Parolanın Kullanılması

Uzak masaüstü erişim gerçekleştirilememesine rağmen, konsol üzerinden ise erişimin gerçekleştirilebildiği görülmektedir. Bu senaryoda kullanıcı parolaları 14 karakterden kısa olacak şekilde seçilmiştir.

Sirket\EaYoneticisi1 aldı kullanıcı oturum açıp işlemlerini tamamladıktan sonra kullanıcı değiştirme seçeneği kullanılarak oturumdan çıkış yapmıştır. Daha sonra PC1\YerelKullanici adlı kullanıcı ile oturum açılmıştır. Bu durumda her iki kullanıcının parolasının da açık olarak elde edilemediği, parolanın sadece LM ve NTLM özetlerinin elde edilebildiği görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-14

Şekil – 14: Güvenlik Paketlerinin Silinmesi Sonrası Kısa Parola ile Oturum Açma İşlemi

 

Ancak, çeşitli araçlarla veya internetten çevrim içi olarak bu hizmeti sunan siteler (Ophcrack , MD5Decrypter gibi) kullanılarak, parolaların LM/NTLM özetlerinden parolaların açık hali elde edilebilir. Şöyle ki;

PC1\YerelKullanici adlı kullanıcı için LM/NTLM parola özetinden parolanın açık halinin elde edilmesi sonucu aşağıdaki gibidir:

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-15

Şekil – 15: 14 Karakterden Kısa Parolalara Ait LM ve NTLM Özetlerinin Bellekten Elde Edilmesi – 1

 

Sirket\EaYoneticisi1 adlı kullanıcı için LM/NTLM parola özetinden parolanın açık halinin elde edilmesi sonucu aşağıdaki gibidir:

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-16

Şekil – 16: 14 Karakterden Kısa Parolalara Ait LM ve NTLM Özetlerinin Bellekten Elde Edilmesi – 2

 

Yorum: Bilgisayar parola ilkelerinden LM özeti tutulması engellenmiş olsa (“Network security: Do not store LAN Manager hash value on next password change” ilkesi etkin olduğu durumda) dahi, 14 karakterden kısa parolalar için RAM üzerinde parolanın LM özeti saklanmaktadır.

C.3) 14 Karakterden Daha Uzun Parolanın Kullanılması

Bir önceki senaryo kullanıcı parolaları 14 karakterden uzun olacak şekilde tekrarlanmıştır. Bu senaryoda PC1\YerelKullanici adlı kullanıcının parolası Siber123.Siber123. olarak, Sirket\EaYoneticisi1 adlı kullanıcının parolası ise Aa123456.Aa123456. olarak belirlenmiştir. Bu durumda her iki kullanıcının parolasının da açık olarak elde edilememesinin yanında parolanın LM özetinin de elde edilemediği, sadece NTLM özetlerinin elde edilebildiği görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-17

Şekil – 17: Güvenlik Paketlerinin Silinmesi Sonrası Uzun Parola ile Oturum Açma İşlemi

 

Bir önceki senaryo ile aynı yöntemler kullanılarak, parolaların NTLM özetlerinden parolaların açık hali elde edilmeye çalışılmış olsa da LM özeti olmadan parolanın açık hali elde edilememiştir. Şöyle ki;

PC1\YerelKullanici adlı kullanıcı için NTLM parola özetinden parolanın açık halinin elde edilememesi durumu aşağıdaki gibidir:

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-18

Şekil – 18: 14 Karakterden Uzun Parolalara Ait NTLM Özetlerinin Bellekten Elde Edilmesi – 1

 

Sirket\EaYoneticisi1 adlı kullanıcı için NTLM parola özetinden parolanın açık halinin elde edilememesi durumu aşağıdaki gibidir:

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-19

Şekil – 19: 14 Karakterden Uzun Parolalara Ait NTLM Özetlerinin Bellekten Elde Edilmesi – 2

 

Yorum: Bellek üzerinden parolalara ait LM özetin tutulmaması için güvenlik ilkelerinin ayarlanmasının yanında parola uzunluğunun 14 karakterden uzun olması da önem arz etmektedir. Bu sebeple parola oluşturulurken 14 karakterden uzun olması tavsiye edilmektedir.

 

D) İstemci Taraflı Koruma Sistemleri

Mimikatz, WCE gibi araçların dosya sistemine yüklenmesi antivirüs gibi sistemler tarafından tespit edilmesine sebep olmaktadır. VirusTotal , yüklenen dosyanın (veya URL’i verilen sayfanın vs) özetini alarak kendisinde, sisteminde kayıtlı olan antivirüsler tarafından bu dosyanın zararlı olarak algılanıp algılanmadığı bilgisini sunan bir hizmettir. 21 Aralık 2012 tarihi itibariyle VirusTotal üzerinde 64 bit mimari için hazırlanmış Mimikatz aracını tespit edebilen 12 antivirüs ürünü bulunmaktadır.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-20

Şekil – 20: Mimikatz Aracının Antivirüsler Tarafından Tespit Edilme Oranı

 

Bu sebeple bilgisayarlar üzerinde antivirüs kullanılması saldırganların işini zorlaştıracaktır. Ancak çeşitli yöntemlerle antivürüsler atlatılarak (AV Bypass) bellek üzerinden parolalar elde edilebilir. Bu yöntemlerden bazıları aşağıdaki gibidir:

  • Antivirüs duraklatılabilir, durdurulabilir, antivirüs servisinin kapatılabilir. Böylece antivirüs çalışmaz hale getirilebilir.
  • Antivirüsler imza tabanlı çalışmaktadırlar. Paketleyiciler kullanılarak veya başka yöntemlerle zararlı yazılımın değiştirilmesi, antivirüslerin zararlıyı tespit edememesine sebep olabilir.
  • Birçok antivirüs sabit disk üzerinde kontrollerini gerçekleştirir, RAM üzerinde çalışan ve sabit disk ile etkileşimi olmayan zararlıları yakalayamaz. Örneğin, Mimikatz aracının RAM üzerinde çalışan versiyonları antivirüsler tarafından yakalanamayabilmektedir.
  • Bellekteki parolalar temel olarak LSASS prosesinden elde edilebilmektedir. Bu prosesin dump halini alan saldırgan, kendi bilgisayarında çeşitli araçlar kullanarak parolanın açık halini elde edebilir. Bu gibi bir durumda antivirüs herhangi bir zararlı aktivite tespit edemeyebilir. Konu ile ilgili yazı için http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool/ bağlantısı incelenebilir.

Benzer olarak zararlı yazılım incelemelerinde de sıklıkla kullanılan YARA adlı araç ile de Mimikatz kullanımı tespit edilebilir. YARA ile Mimikatz kullanımının tespiti için aşağıdaki imzalar kullanılabilir. Bunun yanında en güncel imza için Github [20] sayfasından yararlanılabilir.

/* Benjamin DELPY gentilkiwi
http://blog.gentilkiwi.com
benjamin@gentilkiwi.com
Licence : http://creativecommons.org/licenses/by/3.0/fr/
*/
rule mimikatz
{
meta:
description = “mimikatz”
author = “Benjamin DELPY (gentilkiwi)”
tool_author = “Benjamin DELPY (gentilkiwi)”

strings:
$exe_x86_1 = { 89 71 04 89 [0-3] 30 8d 04 bd }
$exe_x86_2 = { 89 79 04 89 [0-3] 38 8d 04 b5 }

$exe_x64_1 = { 4c 03 d8 49 [0-3] 8b 03 48 89 }
$exe_x64_2 = { 4c 8b df 49 [0-3] c1 e3 04 48 [0-3] 8b cb 4c 03 [0-3] d8 }

$dll_1 = { c7 0? 00 00 01 00 [4-14] c7 0? 01 00 00 00 }
$dll_2 = { c7 0? 10 02 00 00 ?? 89 4? }

$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }

condition:
(all of ($exe_x86_*)) or (all of ($exe_x64_*)) or (all of ($dll_*)) or (any of ($sys_*))
}
rule mimikatz_lsass_mdmp
{
meta:
description = “LSASS minidump file for mimikatz”
author = “Benjamin DELPY (gentilkiwi)”

strings:
$lsass = “System32\\lsass.exe” wide nocase

condition:
(uint32(0) == 0x504d444d) and $lsass
}
rule mimikatz_kirbi_ticket
{
meta:
description = “KiRBi ticket for mimikatz”
author = “Benjamin DELPY (gentilkiwi)”

strings:
$asn1 = { 76 82 ?? ?? 30 82 ?? ?? a0 03 02 01 05 a1 03 02 01 16 }

condition:
$asn1 at 0
}
rule wce
{
meta:
description = “wce”
author = “Benjamin DELPY (gentilkiwi)”
tool_author = “Hernan Ochoa (hernano)”

strings:
$hex_legacy = { 8b ff 55 8b ec 6a 00 ff 75 0c ff 75 08 e8 [0-3] 5d c2 08 00 }
$hex_x86 = { 8d 45 f0 50 8d 45 f8 50 8d 45 e8 50 6a 00 8d 45 fc 50 [0-8] 50 72 69 6d 61 72 79 00 }
$hex_x64 = { ff f3 48 83 ec 30 48 8b d9 48 8d 15 [0-16] 50 72 69 6d 61 72 79 00 }

condition:
any of them
}

rule lsadump
{
meta:
description = “LSA dump programe (bootkey/syskey) – pwdump and others”
author = “Benjamin DELPY (gentilkiwi)”

strings:
$str_sam_inc = “\\Domains\\Account” ascii nocase
$str_sam_exc = “\\Domains\\Account\\Users\\Names\\” ascii nocase
$hex_api_call = {(41 b8 | 68) 00 00 00 02 [0-64] (68 | ba) ff 07 0f 00 }
$str_msv_lsa = { 4c 53 41 53 52 56 2e 44 4c 4c 00 [0-32] 6d 73 76 31 5f 30 2e 64 6c 6c 00 }
$hex_bkey = { 4b 53 53 4d [20-70] 05 00 01 00}

condition:
($str_sam_inc and not $str_sam_exc) or $hex_api_call or $str_msv_lsa or $hex_bkey
}

 

rule power_pe_injection
{
meta:
description = “PowerShell with PE Reflective Injection”
author = “Benjamin DELPY (gentilkiwi)”

strings:
$str_loadlib = “0x53, 0x48, 0x89, 0xe3, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xb9”

condition:
$str_loadlib
}

Yorum: Antivirüs gibi çözümlerin kullanılması saldırı yüzeyini daraltmakla birlikte kesin çözüm değildir.

 

E) Uzaktan Erişim Yöntemleri

Ağ üzerinden bilgisayarlar arasında erişim için uzak masaüstü haricinde yöntelmer de bulunmaktadır. Bu başlık altında ağ üzerinden erişim sağlandığında parola bilgilerinin RAM üzerinde açık olarak saklanıp saklanmadığı senaryolar üzerinden gösterilecektir. Bu başlık altındaki senaryolarda, SRV1 adlı bilgisayarda Sirket\EaYoneticisi1 adlı kullanıcı, PC1 adlı bilgisayarda PC1\YerelKullanıcı adlı kullanıcı oturum açmış bulunmaktadır.

E.1) Kullanıcı Bilgileri Kullanılarak PsExec ile Erişim

Sirket\EaYoneticisi1 adlı kullanıcı, PC1 adlı bilgisayara SysInternals PsExec aracı ile bağlantı kurmaktadır. PsExec aracı, uzak bilgisayarın yönetimsel paylaşımına (ADMIN$) erişim için kullanılan bir araç olarak tanımlanabilir. Bu araç ile bağlantı sırasında kullanıcı adı ve parola bilgisi kullanılabilmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-21

Şekil – 21: PsExec Aracı ile Kimlik Bilgilerini Kullanarak Ağ Üzerinden Erişim

 

Böylece PC1 adlı bilgisayarın dosya sistemine, kimlik bilgisi verilen kullanıcı ile giriş yapılmıştır. Aynı bilgisayar üzerinde PC1\YerelKullanici adlı kullanıcı ile oturum açık bulunmaktadır. Bu durumda her iki kullanıcının parolasının elde edilebildiği görülmektedir. Ayrıca Sirket\EaYoneticisi1 adlı kullanıcının da PC1 adlı bilgisayar üzerinde prosesler başlattığı (cmd.exe ve conhost.exe) görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-22

Şekil – 22: PsExec Aracı ile Kimlik Bilgilerini Kullanarak Ağ Üzerinden Erişimin Hedef Bilgisayarda İncelenmesi

 

Yorum: PsExec aracına kullanıcı bilgileri yazılarak ağ üzerinden erişim sağlanmamalıdır.

E. 2) Kullanıcı Bilgileri Kullanılmadan PsExec ile Erişim

Bir önceki senaryo PsExec aracına kimlik bilgisi verilmeden de gerçekleştirilebilir. Bu durumda komut satırını çalıştıran kullanıcının hakları ile bağlantı sağlanır. Diğer bir deyişle, SRV1 adlı bilgisayarda PsExec aracını kullanan kullanıcı (Sirket\EaYoneticisi1 adlı kullanıcı) hakları ile bağlantı oluşturulmaktadır.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-23

Şekil – 23: PsExec Aracı ile Kimlik Bilgilerini Kullanmadan Ağ Üzerinden Erişim

 

Böylece, PC1 adlı bilgisayarın dosya sistemine, PsExec aracını kullanan kullanıcı hakları ile giriş yapılmıştır. Aynı bilgisayar üzerinde PC1\YerelKullanici adlı kullanıcı ile oturum açık bulunmaktadır. Bu durumda sadece PC1\YerelKullanici adlı kullanıcının parolasının elde edilebildiği, Sirket\EaYoneticisi1 adlı kullanıcının parolasının elde edilemediği görülmektedir. Bunun yanında, Sirket\EaYoneticisi1 adlı kullanıcının da PC1 adlı bilgisayar üzerinde, bir önceki senaryoda olduğu gibi, prosesler başlattığı (cmd.exe ve conhost.exe) görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-24

Şekil – 24: PsExec Aracı ile Kimlik Bilgilerini Kullanmadan Ağ Üzerinden Erişimin Hedef Bilgisayarda İncelenmesi

 

Yorum: PsExec aracına kullanıcı bilgileri verilmeden ağ üzerinden erişim sağlanılması durumunda, mimikatz aracı ile RAM üzerinden uzaktan erişimi gerçekleştiren kullanıcının parolası açık olarak elde edilemez. Ancak yeni bir prosesin oluşturulması, bağlantı boyunca bu proseslerin yaşamlarına devam etmesi, bu süre boyunca saldırganın oluşturduğu bir prosesin bu proseslere sıçrayabiliyor (migration) olması veya saldırgana ait prosesin bu proseslermiş (impersonation) gibi bu prosesler üzerindeki bazı bilgileri (jeton – token gibi) alabiliyor olması, prosesi çalıştıran kullanıcının haklarının ele geçirilmiş olması anlamına da gelebilmektedir. Bu hakların sadece mevcut bilgisayar üzerinde etkin olması, ağdaki diğer servislere erişim kullanılamaması için, özellikle kritik hesapların “Account is sensitive and cannot be delegated” adlı özelliğinin seçilmiş olması tavsiye edilmektedir.

E.3) Kayıt Defteri ile Uzaktan Erişim

PC1 adlı bilgisayardaki “Remote Registry” adlı servis etkin ve başlatılmış durumdadır. SRV1 adlı bilgisayar üzerinden PC1 adlı bilgisayarın Kayıt Defteri’ne (Registry Editor) erişim sağlanmaktadır.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-25

Şekil – 25: Kayıt Defteri ile Ağ Üzerinden Erişim

 

Bu durumda PC1 adlı bilgisayarda sadece PC1\YerelKullanici adlı kullanıcının parolası elde edilebilmektedir. Bunun yanında PC1 adlı bilgisayarda herhangi bir prosesin başlatılmadığı görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-26

Şekil – 26: Kayıt Defteri ile Ağ Üzerinden Erişimin Hedef Bilgisayarda İncelenmesi

 

Yorum: Uzaktan kayıt değerlerine erişim sağlanırken parolalar açık olarak elde edilemez. Ancak bu işlemin gerçekleşmesi için “Remote Registry” servisinin çalıştırılması güvenlik zafiyetine sebep olmaktadır.

E.4) Yönetimsel Paylaşımlarla Dosya Sistemine Uzaktan Erişim

Sirket\EaYoneticisi1 adlı kullanıcı, PC1 adlı bilgisayarın dosya sistemine (yönetimsel paylaşımına) erişmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-27

Şekil – 27: Dosya Paylaşımı ile Ağ Üzerinden Erişim

 

Bu durumda PC1 adlı bilgisayarda sadece PC1\YerelKullanici adlı kullanıcının parolası elde edilebilmektedir. Bunun yanında PC1 adlı bilgisayarda herhangi bir prosesin başlatılmadığı görülmektedir.

mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-28

Şekil – 28: Dosya Paylaşımı ile Ağ Üzerinden Erişimin Hedef Bilgisayarda İncelenmesi

 

Benzer sonuçlar, yönetimsel paylaşımlara erişim için kullanılan “net use” komutu ile de alınmaktadır. Şöyle ki, “net use” komutunu kimlik bilgisi kullanarak (net use \\PC1\ADMIN$ /user:Sirket\EaYoneticisi1 Aa123456.) veya kimlik bilgisi olmadan (net use \\PC1\ADMIN$) dosya sistemine erişim durumunda, erişimi gerçekleştiren kullanıcının parolası, erişimin gerçekleştirildiği bilgisayar üzerinden elde edilememektedir. Dosya paylaşımına erişim sağlayarak betikler çalıştırılabildiğinden “Remote Registry” servisinin açık bırakılmasına gerek kalmamaktadır.

Yorum: Dosya sistemine erişim için paylaşımların kullanılması tavsiye edilmektedir. Paylaşımların belirli IP’lerden (etki alanı denetleyicisi veya jump server gibi ara bilgisayarlardan) gelen taleplere açık olması tavsiye edilmektedir. Bunun yanında, dizinlerin dosya sistemi üzerindeki (NTFS) ve ağ üzerindeki (Sharing) erişimlere ait güvenlik konularına da önem verilmelidir. Ancak bu konular kapsam dışında olduğu için değinilmeyecektir.

 

F) Diğer Uzaktan Erişim Araçları

Ağ üzerinden bilgisayarlara erişimler için diğer bir çok yöntem bulunmaktadır. WMIC (wmic /node:PC1 process list brief), powershell, yönetim konsolu (MMC) gibi yöntemler ile erişim gerçekleştirildiğinde hedef bilgisayar (PC1 adlı bilgisayar) üzerinde parolalar açık olarak elde edilemez. Ancak bu yöntemlerin kullanılması için hedef bilgisayarda bazı servislerin çalışması gerekmektedir. Bu servislerin açık bırakılması ise saldırı yüzeyini arttırmaktadır.

 

G) Güncelleştirmelerin Gerçekleştirilmesi

Microsoft tarafından yayınlanan KB2871997 paketi ile RAM üzerinden parolaların elde edilmesi zorlaştırılmıştır. Ancak henüz tamamen engellenememiştir. Konu ile ilgili ayrıntılı yazı için http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-with-microsoft-seucity-updates bağlantısındaki yazı incelenebilir.

 

Sonuç: Tüm Tavsiyeler

Bu başlık altında diğer başlıklar altında bahsedilen tavsiyeler tekrar edilecek ve ek tavsiyelerde bulunulacaktır. Bu tavsiyeler aşağıdaki gibidir:

  • Kritik kullanıcı hesapları ile (özellikle saldırıya açık konumda bulunan DMZ içerisindeki ve istemciye açık olan) bilgisayarlarda, oturum açılamamalıdır. Bu bilgisayarlardakiişlemler için yerel kullanıcılar veya belirlenen işlemler gerçekleştirmek için oluşturulan etki alanı hesapları (Teknik Destek hesabı gibi) kullanılmalıdır.
  • Saldırıya açık konumdaki bilgisayardaki oturumların süresi sınırlandırılmalıdır. Belli aralıklarla bilgisayar yeniden başlamalıdır. Ancak ele geçirilen bir bilgisayardan diğer bilgisayarlara erişim mümkün olabildiği için, tüm bilgisayarlarda bu işlemin gerçekleştirilmesi tavsiye edilmektedir.
  • Açık olan bir oturumu sonlandırmak için bilgisayar yeniden başlatılmalıdır.
  • 14 karakterden daha uzun parolalar kullanılmalıdır. Parolalar küçük harf, büyük harf, rakam, noktalama işaretleri gibi özel karakter içermelidir.
  • Gereksiz güvenlik paketleri kaldırılmalıdır. Ancak bu işlemin çeşitli problemlere yol açabileceği unutulmamalıdır.
  • Antivürüs gibi istemci üzerinde koruma sağlayan mekanizmalar güncel ve etkin olmalıdır.
  • Uzaktan erişimler için dosya paylaşımları tercih edilmelidir. Bu paylaşımlara erişimlere belirli bilgisayarlardan (IP) ve hesaplardan izin verilmelidir.
  • Kimlik doğrulaması için akıllı kartın kullanılması tavsiye edilmektedir. Güvenilir olarak tasarlanmış akıllı kartlarda parola yerine PIN kullanılmakta ve kullanıcı hesabına ait özel bilgi (private key), akıllı kart içerisinden alınamamaktadır.
  • Kullanıcı hesaplarına, servis veya zamanlanmış görev (scheduled jobs) başlatan hesaplara, gereğinden fazla yetki (Domain Admin yetkileri gibi) verilmemelidir.
  • Tespit amaçlı olarak da, belli olaylar gerçekleştiğinde kayıtların / alarmların oluşturulması ve oluşturulan alarmların izlenmesi tavsiye edilmektedir.
  • Microsoft’un KB2871997 güncelleme paketi indirilmelidir.

Bu yazıda bellek üzerinden kimlik bilgilerinin elde edilmesini zorlaştırmak ve elde edilmesini engellemek için gerçekleştirilebilecek yöntemlerden bahsedilmiştir. Bu yöntemlerin, özellikle kritik sistemlere sahip kurumlarda, incelenmesi tavsiye edilmektedir. Bunun yanında, en önemli korunma yönteminin saldırganların sistemlere erişmesini engellemek ve RAM üzerinden bilgi alabilecek kadar sistemlere sızabilmesine imkan sağlamamak olduğu unutulmamalıdır.

[1] http://www.bilgiguvenligi.gov.tr/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html
[2] http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx
[3] http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx
[4] http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html
[5] https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-3.html
[6] http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html
[7] http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx
[8] http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf
[9] http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf
[10] http://technet.microsoft.com/en-us/library/dn169026(v=ws.10).aspx
[11] http://technet.microsoft.com/en-us/library/dn169016(v=ws.10).aspx
[12] http://codeidol.com/community/windows/logon/25019/
[13] http://fr.slideshare.net/gentilkiwi/mimikatz-asfws
[14] http://www.sans.org/reading-room/pass-the-hash-attacks-tools-mitigation-33283
[15] http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/
[16] http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf
[17] http://umut-simsek.blogspot.com/2013/04/hashini-seven-kovboy-heykrlara-karsi.html
[18] https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-1.html
[19] https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/bellekten-parolalarin-elde-edilmesi-2.html
[20] https://github.com/gentilkiwi/mimikatz/blob/master/kiwi_passwords.yar
[21] http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/mitigating-wce-and-mimikatz-tools-that-obtain-clear-text-passwords-on-windows-session-with-microsoft-seucity-updates

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.