Sysmon
Sysmon, bulunduğu cihazdaki aktivitelerin kayıt altına alınmasını sağlayan Microsoft tarafından geliştirilen araçtır. Proseslerin oluşması, ağ bağlantıları gibi aktiviteler için detaylı bilgi sağlayarak anormal durumların tespit edilebilmesini sağlar. Kurulum ve konfigürasyon için detaylı bilgiye Microsoft’un sitesinden erişilebilir.
Mimikatz
Windows sistemlerde parolaları hafıza üzerinden elde etmeyi sağlayan araçtır.
https://github.com/gentilkiwi/mimikatz
Sysmon kullanarak sistemde mimikatz tespit edebilmenin 3 farklı yolundan bahsedeceğim:
- Mimikatz İsimli Dosyaların İzlenmesi
- Hash Değerlerinin İzlenmesi
- “lsass.exe” İzlenmesi
Mimikatz İsimli Dosyaların İzlenmesi
Sistemde oluşturulan “mimikatz” isimli dosyaların izlenmesi tespit için bir seçenektir. Fakat dosya ismi kolaylıkla değiştirilebileceğinden atlatılması oldukça kolaydır.
Sysmon Konfigürasyonu

Sysmon’un Ürettiği Sonuç

Çıktıya bakıldığında sıkıştırılmış dosyadan “mimikatz.exe” dosyası çıkarıldığı anlaşılmaktadır.
Hash Değerlerinin İzlenmesi
Mimikatz’e ait hash değerlerine sahip bir proses başlatıldığında Sysmon’un uyarı üretmesi sağlanabilir. Dosyada yapılacak ufak bir değişiklikle hash değeri yenileneceğinden dolayı bu yöntem de çok sağlıklı değildir.
“mimikatz.exe” nin hash değerine bakıldığında “010D11288BAF561F633D674E715A2016” olduğu görülür.

Dosyaya ufak bir ekleme yapıldığında içeriği değişeceğinden hash değeri de değişecektir.

“010D11288BAF561F633D674E715A2016” hash değerine sahip dosyanın çalıştırıldığını görmek için gerekli konfigürasyon:

Sysmon Çıktısı

“lsass.exe” İzlenmesi
Mimikatz, parolaları ele geçirmek için lsass.exe yi kullanır. “lsass.exe” nin izlemeye alınmasıyla beraber onu çağıran prosesler de kayıt altına alınmış olunur. Böylece sadece mimikatz değil lsass.exe yi çağıran tüm şüpheli bir prosesler kayıt altına alınmış olur.
https://github.com/gentilkiwi/mimikatz/wiki
Konfigürasyon

Daha etkili sonuçlar elde etmek için “lsass.exe” yi legal aktiviteler için çağıran prosesler hariç tutulabilir.
Sysmon Çıktısı

İlk Yorumu Siz Yapın