Mimikatz Nedir?

Mimikatz, Benjamin Delpy tarafından geliştirilen ve Windows işletim sisteminde kimlik doğrulama süreçlerini incelemek için kullanılan bir güvenlik aracıdır. LSASS sürecindeki bellek alanından oturum bilgilerini okuma yeteneği nedeniyle hem savunma hem saldırı simülasyonlarında referans gösterilir. Bu yazı eğitim ve savunma amaçlıdır.

Aracı izinsiz sistemlerde kullanmak Türkiye'de ve birçok ülkede ağır cezai yaptırımlara tabidir. Yalnızca kendi laboratuvar ortamınızda, yazılı pentest sözleşmesi kapsamında veya olay müdahale ekibi yetkisiyle çalışın. Etik hackerlık ve yasal sınırlar her adımda gözetilmelidir.

Teknik Arka Plan

Windows oturum açma sonrası kimlik bilgileri belirli koşullarda LSASS belleğinde tutulur. Mimikatz sekurlsa::logonpasswords gibi komutlarla bu alanı analiz eder. Credential Guard ve LSA Protection gibi modern savunmalar bu erişimi zorlaştırır. Windows 10 ve 11'de varsayılan güvenlik özellikleri kapalı değildir.

Pass-the-hash ve golden ticket gibi teknikler Active Directory ortamlarında simülasyon senaryolarında test edilir. Canlı üretim ortamında deneme yapmak hizmet kesintisi ve veri ihlali riski taşır. Test öncesi yedekleme ve geri dönüş planı zorunludur.

Yasal ve Etik Çerçeve

Penetrasyon testi sözleşmesinde bellek dökümü alma yetkisi açıkça yazılmalıdır. Elde edilen parolalar raporda maskelenmeli ve test sonrası imha edilmelidir. Kişisel verilerin korunması kanunu kapsamında log ve döküm dosyaları şifreli saklanmalıdır.

  • Yalnızca yazılı izin verilen sistemlerde çalışın.
  • Sanal makinede izole laboratuvar kurun.
  • Antivirus uyarılarını bastırmak yerine beyaz liste kullanın.
  • Bulguları sorumlu açıklama ile paylaşın.
  • Olay müdahale dışında üretim LSASS erişiminden kaçının.

Savunma Önlemleri

Credential Guard, LSA Protection ve Protected Users grubu saldırı yüzeyini küçültür. Yönetici hesaplarını günlük işlerde kullanmayın. LSASS erişimini EDR çözümleri izler; anomali tespiti için Sysmon kuralları tanımlayın.

Alternatif Araçlar ve Eğitim

Procdump resmi Microsoft aracıdır ve destek senaryolarında bellek dökümü almak için kullanılabilir. Volatility bellek adli analiz framework'üdür. SANS ve Microsoft dokümantasyonu savunma odaklı eğitim sunar. Mimikatz bilgisi savunmacı ekipler için tehdit modellemesi açısından değerlidir.

Saldırganların Mimikatz kullanımını simüle etmek purple team egzersizlerinde faydalıdır. Ancak korsan indirme kaynaklarından aracı temin etmek malware bulaştırma riski taşır. Resmi GitHub deposundan ve doğrulanmış hash ile indirin.

Sonuç

Mimikatz güçlü bir güvenlik aracıdır; yasal ve etik sınırlar içinde kalmadan kullanımı kabul edilemez. Kuruluşunuzda savunma derinliği oluşturmak için önce Credential Guard ve ayrıcalıklı erişim yönetimini değerlendirin.

MITRE ATT&CK ve Savunma

T1003 alt tekniği LSASS bellek okumayı tanımlar. Savunma kontrolleri ATT&CK matrix ile haritalanır. EDR bellek enjeksiyonunu izler. Windows Defender Application Control yetkisiz binary engeller. Credential Guard sanallaştırma tabanlı koruma sunar.

Adli Süreç ve Delil Zinciri

Bellek dökümü write-blocking diskte saklanır. Delil zinciri mahkeme sürecinde kritiktir. 5651 log saklama yükümlülükleri geçerlidir. Mimikatz yalnızca yetkili adli bilişim veya savunma tatbikatında kullanılmalıdır; izinsiz bellek okuma kişisel verilerin korunması kanununu ihlal eder.

Alternatif Araçlar

ProcDump Sysinternals ile bellek dökümü alınabilir. Volatility framework döküm analizi yapar. Resmi GitHub deposundan hash doğrulaması ile indirin; korsan kaynak malware taşır. Purple team tatbikatında senaryolar önceden onaylanmalıdır.

LSASS koruması Windows 11'de PPL ile güçlendirildi. Dump bellek dosyası şifreli diskte saklanmalıdır. Antivirus Mimikatz imzasını engeller.

Savunma Mimarisi

Privileged Access Management just-in-time admin erişimi sağlar. LAPS yerel admin parolalarını rastgeleleştirir. Honeytoken sahte kimlik bilgisi saldırganı erken uyarır. SIEM korelasyon kuralları anomali tespit eder.

Windows 11 Secure Boot ve TPM 2.0 zorunluluğu bellek saldırı yüzeyini daraltır. Virtualization-based security izole credential store kullanır. Antivirus behavioral detection şüpheli process injection engeller.

Eğitim Laboratuvarı

TryHackMe ve HackTheBox yasal pratik ortamları sunar. Yerel VM'de Windows Server domain kurarak credential dumping simülasyonu yapılabilir. Gerçek üretim sisteminde deneme kesinlikle yasaktır.

Sonuç

Mimikatz güçlü bir güvenlik aracıdır ancak kötü niyetli kullanımda ciddi zarar verir. Savunma tarafında Credential Guard, LAPS ve EDR birlikte katmanlı koruma oluşturur. Saldırı simülasyonları yazılı izin ve kapsam dışında asla gerçekleştirilmemelidir. Güvenlik farkındalığı eğitimi çalışanları oltalama saldırılarına karşı hazırlar.

Blue Team Tatbikatı

Kırmızı ekip saldırı simülasyonu yaparken mavi ekip tespit ve müdahale becerisini ölçer. Tabletop exercise senaryosu yazılı kapsam olmadan başlamaz. Olay müdahale runbook LSASS erişim alarmında izole etme adımlarını içermelidir.

LSASS ve Pass-the-Hash Savunması

LSASS oturum belirteçlerini tutar; sekurlsa::logonpasswords okur. Credential Guard sanallaştırma tabanlı koruma sağlar. LAPS her makinede farklı yerel admin parolası tanımlar.

Forensic ve Modern Kimlik Doğrulama

Volatility açık kaynaklı bellek analiz aracıdır. FIDO2 güvenlik anahtarları phishing-resistant doğrulama sunar. İzinsiz bellek analizi ceza hukuku kapsamındadır.

Red Team ve Savunma

Red team egzersizlerinde mavi takım tespit süresi ölçülür. Protected Process Light antimalware servislerini korur. Mimikatz yalnızca lab veya yazılı pentest sözleşmesinde çalıştırılmalıdır.