Mimikatz zararlısına karşı detect ve response aşamaları nasıl olmalı

BİRİNCİ BÖLÜM

Mimikatz, Windows sistemlerde lsass process’ine erişip parolaları memory üzerinden dump etmeyi sağlayan zararlı bir araçdır.

Sysmon, bilgisayarlarımızda gerçekleşen işlemleri izlememizi sağlayan bir araçtır. Doğru yapılandırmayla, şüpheli davranışlar Sysmon tarafından algılanabilir ve ayrıntılı bilgiler üretilen günlüğe (event log) kaydedilir.

Mimikatz: https://github.com/gentilkiwi/mimikatz

Sysmon : https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Detection

Ortamımızda Mimikatz’i tespit etmek için birçok farklı yollar vardır.Sysmon bunlardan birisidir.

Sysmon ile aşağıdaki durumlarda Mimikatz tespiti yapabiliriz.

1. Sysmon Kullarak Komut Satırı Çalıştırılmasını (cmd.exe) tespit etme

Attackerlar Mimikatz ile Windows kimlik bilgilerini dump etmeden önce binary dosyayı ortama indirmeleri gerekir. Sysmon Event ID 1, Windows process oluşturma işlemini izler ve Shell process’lerini çağırmak için kullanılan komut satırı çalıştırmasını gösterir.

2. Sysmon Kullanarak Gizli Komut Satırı Çalıştırmasını Tespit Etme

Tehdit aktörleri, uç nokta algılamasından kaçınmak için genellikle komut satırı yürütmelerini gizler. Base64 kodlaması, yaygın bir taktikdir.

Sysmon Konfigürasyonu

3. Mimikatz’ın Lsass Belleğe Erişimini Tespit etme.(Lsass.exe aktivitelerini izleme)

Lsass işlemi, Windows güvenlik ilkesini uygular, kullanıcı oturumlarını doğrular ve kullanıcı parolası değişikliklerini işler.
Lsass process’lerine erişimi izlemek için Sysmon’u konfigüre etmek istiyorsak, Sysmon Event ID 10, Mimikatz'ın bir üst işlem olarak davrandığını ve lsass.exe'ye eriştiğini, alt işlem olarak davrandığını gösterecektir.

Sysmon Konfigürasyonu

İKİNCİ BÖLÜM

1.Response aşamasında, eğer mimikatz zararlısını tarafından enfekte edilmiş-hacklenmiş cihaz izole edilir. İzole edilen cihaz analiz edilir. Analiz sürecinde elde ettiğimiz IOC(zararlı IP, hash, uygulama, process bilgilerini) bilgileriyle Firewall’da , Edr’da kural yazıp bloklama yaparız.

Önlem olarak:

1.Windows 7 bilgisayarlarında KBKB2871997 güvenlik güncelleştirmesi paketi eksikliğinden dolayı mimikatz zarar veriyordu. Bu yama ile bu sorun çözüldü. İşletim sistemlerinin güncel olmasına dikkat etmeliyiz.

2.SMBv1 devre dışı bırakmalıyız:

Hala SMBv1 destekleyen bilgisayarlar var mı bunu araştırmalıyız. Ayrıca SMBv1 Global olarak devre dışı bırakmalıyız:

3.İşletim sistemlerini ve server işletim sistemlerini güncellemeliyiz.

4.Network’te segmentasyonlu yapı kullanmalıyız.

5.Update Active Directory’s Functional level

6.Disable the debug right for local administrators on all servers and Workstation

Group Policy Management Editor -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Debug programs -> Define these policy settings:

7.Disable the WDigest protocol across the board:

Mimikatz, LSASS ile etkileşime girerek bir saldırganın bu kimlik bilgilerini aşağıdaki komutla almasına izin verir:

sekurlsa :: wdigest

Windows 8 ve daha yeni versiyonlarda bu disable olarak gelir.

Disable etmek için, Regedit (kayıt defteri düzenleyicisine gidilir)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
UserLogonCredential ve Negotiate değerleri “0” olarak ayarlanır.
(“UseLoginCredential” Server 2016+ ve Windows 10’da yoktur.)

8.Enable LSA protection (RunAsPPL registry key):

Enable etmemiz için kayıt defteri düzenleyicisine gidilir
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
and set “RunAsPPL” to “1” olarak değer ayarlanır.

9.Disable storage of plain text passwords in AD:

Computer Configuration / Security Settings / Account Policies / Password Policy, and set “Store Passwords using reversible encryption” to “Disabled”:

10.Disable password caching:

Computer Configuration -> Windows Settings -> Local Policy -> Security Options -> Interactive Logon: Number of previous logons to cache -> 0

11.Enable Restricted Admin Mode

12.Admin ve service accountları için uzun ve complex parola belirlemeliyiz.

13.Belirli bir amaç için oluşturulmuş yönetici hesaplarını belirli sunuculara kısıtlamalıyız.

14.Administrator hesaplarını AD group altında “Protected Users” alanına koymalıyız:

Kerberos Authentication için

Kaynaklar:

https://medium.com/@levurge/detecting-mimikatz-with-sysmon-f6a96669747e

https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1554993664.pdf

https://www.youtube.com/watch?v=gKa_CZAz3Jc

https://www.youtube.com/watch?v=vqGoXQEK8pA

https://isc.sans.edu/forums/diary/Mitigations+against+Mimikatz+Style+Attacks/24612/