Bu makale, kullanmakta olduğunuz sistemleri (Server/Client) güncel tutmanız ve security hardening yapmanız için yayınlanmıştır. Sistemleriniz de güvenlik açığı olduğu zaman aşağıdaki işlemler yapılabilmektedir.

Bu bilgileri yasa dışı bir faaliyet amacıyla kullanmayınız.

Windows işletim sistemlerine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan biriside RAM üzerinden parolaların açık halinin elde edilmesi işlemidir. Bu işlemi gerçekleştirmek için Mimikatz gibi araçlar kullanılabilmektedir. Bu makalede Mimikatz kullanarak, RAM üzerinden parolaların ele geçirilmesi işlemini inceleyeceğiz.

Oturum açmak için yazdığımız kullanıcı adı ve parola gibi bilgiler, RAM’e yüklenen ve kimlik doğrulama işleminde görev alan bazı kütüphane dosyalarında şifreli olarak saklanmakta ve bu bilgiler kimlik doğrulama işlemleri sırasında işlenmektedir. Bunun yanında Mimikatz gibi bazı araçlar RAM üzerinde tutulan şifreli parolayı ve şifreleme anahtarını elde ederek, şifreli parolayı deşifre etmekte, böylece parolanın açık olarak elde edilmesini sağlamaktadır. 

Bu makalede bu tür işlemlerin nasıl gerçekleştirileceğini göreceğimiz gibi, makalenin sonunda bu tür işlemlerden kendinizi korumanız için nasıl önlemler almanız gerektiğiyle ilgili bilgilerde yer almaktadır.

Bu işlemin nasıl gerçekleştirildiğini adım adım aşağıdaki şekilde görebilmekteyiz;

Orhan user’ı kendi bilgisayarında T3 domain user’ı ile oturum açmıştır. Ancak kendisi domain admin olduğu için PAW kullanmadan T0 domain admin accountu ile DC’ye RDP (mstsc) yaparak bağlanmıştır.

Whoami /all komutu ile kontrol ediyorum.

DC1 domain controller sunucusuna login oluyorum.

Sunucuya login olduktan sonra Whoami /all komutu ile kontrol ediyorum.

Kötü niyetli kişiler, yada şirketlerde yapılan sızma testlerinde yapmış olduğum RDP’den dolayı memory’den password bilgisini aşağıdaki gibi alabilirler.

Psexec \\pc-7-admin cmd

Mimikatz

Privilege::debug

Sekurlsa::logonpasswords

NOT:

1. PAW (high secure workstation) kullanınız. (Sitemiz üzerinden PAW Kurulum ve Konfigürasyon makalelerine ulaşabilirsiniz.)
2. Anti virüs + EDR + Malware Detection kullanınız.
3. Aduit Log’ların doğru konfigüre edildiğinden ve aktif olduğundan emin olmulunuz.
4. ATA yada Azure ATP kullanınız.