Sysmon ile Mimikatz Tespiti

Sysmon

Sysmon, bulunduğu cihazdaki aktivitelerin kayıt altına alınmasını sağlayan Microsoft tarafından geliştirilen araçtır. Proseslerin oluşması, ağ bağlantıları gibi aktiviteler için detaylı bilgi sağlayarak anormal durumların tespit edilebilmesini sağlar. Kurulum ve konfigürasyon için detaylı bilgiye Microsoft’un sitesinden erişilebilir.

Mimikatz

Windows sistemlerde parolaları hafıza üzerinden elde etmeyi sağlayan araçtır.

https://github.com/gentilkiwi/mimikatz

Sysmon kullanarak sistemde mimikatz tespit edebilmenin 3 farklı yolundan bahsedeceğim:

  • Mimikatz İsimli Dosyaların İzlenmesi
  • Hash Değerlerinin İzlenmesi
  • “lsass.exe” İzlenmesi

Mimikatz İsimli Dosyaların İzlenmesi

Sistemde oluşturulan “mimikatz” isimli dosyaların izlenmesi tespit için bir seçenektir. Fakat dosya ismi kolaylıkla değiştirilebileceğinden atlatılması oldukça kolaydır.

Sysmon Konfigürasyonu

Sysmon’un Ürettiği Sonuç

Çıktıya bakıldığında sıkıştırılmış dosyadan “mimikatz.exe” dosyası çıkarıldığı anlaşılmaktadır.

Hash Değerlerinin İzlenmesi

Mimikatz’e ait hash değerlerine sahip bir proses başlatıldığında Sysmon’un uyarı üretmesi sağlanabilir. Dosyada yapılacak ufak bir değişiklikle hash değeri yenileneceğinden dolayı bu yöntem de çok sağlıklı değildir.

“mimikatz.exe” nin hash  değerine bakıldığında “010D11288BAF561F633D674E715A2016” olduğu görülür.

Dosyaya ufak bir ekleme yapıldığında içeriği değişeceğinden hash değeri de değişecektir.

“010D11288BAF561F633D674E715A2016” hash değerine sahip dosyanın çalıştırıldığını görmek için gerekli konfigürasyon:

Sysmon Çıktısı

 “lsass.exe” İzlenmesi

Mimikatz, parolaları ele geçirmek için lsass.exe yi kullanır. “lsass.exe” nin izlemeye alınmasıyla beraber onu çağıran prosesler de kayıt altına alınmış olunur. Böylece sadece mimikatz değil lsass.exe yi çağıran tüm şüpheli bir prosesler kayıt altına alınmış olur.

https://github.com/gentilkiwi/mimikatz/wiki

Konfigürasyon

Daha etkili sonuçlar elde etmek için “lsass.exe” yi legal aktiviteler için çağıran prosesler hariç tutulabilir.

Sysmon Çıktısı

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir