AutoPsy ve Mimikatz Araçlarının Kullanımı

Merhaba Arkadaşlar

Autopsy programıda FTK programı gibi free adli bilişim araçlarından bir tanesidir.Program yapısı itibari ile açık kaynaklı olup geliştirilebilir modülleri mevcuttur.Temel çalışma mantığı diğerleri gibi disk ve dosya analizi ve digital forensics alanındadır.

Programı http://www.sleuthkit.org/autopsy/download.php adresinden temin edebilirsiniz.

Kurulum basit ve sade br şekildedir.Ekstra bir ayar veya konfigürasyona gerek yoktur.Programı çalıştırdığınızda karşınıza Case seçenekleri gelmektedir.Varolan bir case varsa açabilir veya yeni bir case oluşturabilirsiniz.Ben New Case seçeneğini seçerek devam ediyorum.

Case Information kısmında raporlamanın yapılacağı alan ve Rapor ismi belirtilmektedir.Bu alanı doldurduktan sonra Next diyoruz.

Case dosyası oluşturulduktan sonra bizden hangi data veya disk için analiz yapacağımızı seçmemizi istiyor.Bu kısımda lokal diskleri,dosyaları veya imaj dosyalarını case içerisinde inceleyebilirsiniz.Ben bir adet txt dosyası ile alakalı forensics yapacağımdan ötürü Logical Files kısmını seçiyorum.

İlgili dosyanın kaynağını hedef kısımda belirttikten sonra devam diyerek sonraki kısma geçiyoruz.

Bu kısımda hedef dosya üzerinde incelenicek modülleri seçebilmekteyiz.

Case oluşturulduktan sonra dosya tipi program içerisine gömülmüş durumda bu kısımda özellikle tarafına baktığınızda dosyanın özelliklerini ve bilgilerini görebilmekteyiz.Erişim zamanı,değişim zamanı,oluşturulma zamanlarının yanı sıra boyutu lokasyonu eğer data değiştirildi ise modifiye tarihlerini görüp dosya üzerinde nelerin olduğunu listeyebiliriz.

Hex özelliği sayesinde dökümanın hex değeri ve içerisindeki yazan dataları görebilirsiniz.

Mimikatz Programı ile Şifre Kırma

Mimikatz programı aslında Adli bilişim alanında çok kullanılmasada detay olarak oflline bir bilgisayar üzerinde oldukça iyi verim sağlayabilmektedir.Bu konumuzda Mimikatz programının genel tanımı ve offline bir bilgisayarın memory dump yapılarak nasıl şifresinin ele geçirilebileceğine değiniyor olacağım.Genellikle sızma testlerinde kullanılan bu programın esas amaçı girilen makinadaki lsass.exe deki bilgileri debug modda çalıştırarak kullanıcı bilgilerini ele geçirmektir.Tabi bunun online ve offline versiyonları adli bilişim tarafında bazen gerekli olabilmektedir.

Peki bu dediğimiz Lsass.exe nedir ? bundan bahsetmek gerekirse Microsoft tarafındaki işletim sistemlerinin default olarak “C:\Windows\System32” dizininde bulunan bir servistir.Servis dediğime bakmayın çok ciddi şekilde merkez noktada olan bir servistir.Bu servisin amacı ve mantığı Local Policy mantığında çalışan ve hepimizin servislerden tanıdığı “NT AUTHORITY\SYSTEM” yetkilerine sahip olan bu uygulama yetkilisidir.Bu servis SAMSS (Security Accounts Manager) ile VAULTSVC(Credential Manager) servislerini kontrol eder.Bu tabi aslında sistemin kasa olduğunu düşünürsek bu servislerde o kasayı açan anahtardır diyebiliriz.

Siteye https://github.com/gentilkiwi/mimikatz/releases adresinden ulaşabilirsiniz.Windows makinalar için *zip dosyasını eğer linux makina kullanıyorsanız *tar.gz paketini indirmeniz yeterli olucaktır.

Mimikatz programını extract ediyoruz.Siz kendi belirlediğiniz bir noktayada bu dosyayı çıkarabilirsiniz.Çıkarılan klasördeki X64 dosyasını kopyalıyoruz ve  C: diskimize paste ediyoruz.

Şimdi sırada dump ı alacağımız lsass process inin logunu almak.Bunun için Task Manager daki işlemler menüsünden lsass.exe yi bulup döküm dosyası oluşturmasını istiyoruz.

İşlemini yaptığımız bilgisayar üzerinde Temp dosyasının içerisine DMP dosyasını oluşturmuş durumda.

Lsass.DMP dosyasını Temp dosyasından alarak Mimikatz programının x64 klasörüne kopyalıyoruz.Artık programı çalıştırabiliriz.

Bu aşamada “privilege::debug” komutu ile debug modunu aktif hale getiriyoruz.

Bu aşamada dmp dosyasını process edebilmemiz için “sekurlsa::minidump lsass.DMP” komutunu çalıştırıyoruz.

İlgili dump process i işledikten sonra login olduğumuz hesabın şifresi komut sisteminden bize vermekte.Bu noktada önemli olan hedef bilgisayarın lsass.exe sinin dump file kısmını ele geçirmektir.Tabi bunu sistemin locak policy leri ile engelleyebilirsiniz.Yanlız procdump veya Powershell üzerinden elde edilen memory dump lar için çok fazla bir önlem getirilememekte.Özellikle powershell açıklarının bu konuda çok hızlı şekilde çoğalması sistem güvenliğini tehlikeye atan bir durum olduğunu söyleyebiliriz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!