Selamlar, bugünkü blog yazımda Windows işletim sistemleri içerisinde varsayılan olarak yer alan Microsoft Defender'i ve kurumsal uç nokta güvenlik platformu olan Microsoft Defender ATP'yi atlatarak Mimikatz zararlısını nasıl çalıştırabileceğimize bakıyor olacağız.
Öncelikle uygulayacağımız yöntemin, bu blog yazısını yazmış olduğum zamanda kullanılabiliyor olduğunu ve gelecekte sürekli olarak kullanılabileceği anlamı taşımadığını belirtmek isterim. Çünkü herkese açık olarak paylaşılan atlatma yöntemleri, güvenlik sistemleri geliştiricileri tarafından analiz edilerek, mevcut atlatma yöntemlerinin engellenebilmesi için kendi güvenlik ürünlerini/sistemlerini güncellemektedirler.
Haydi başlayalım...
Mecvut çalışmamız içerisinde Mimikatz zararlısını kullanacağız. Mimikatz zararlısı Microsoft Defender tarafından otomatik olarak engellenmektedir. Engellendiğine ilişkin detay aşağıdaki ekran görüntüsünde yer almaktadır.
Not: Ekran görüntülerini daha net görebilmek için üzerlerine tıklayabilirsiniz.
Kurban makinesinde Mimikatz zararlısını çalıştırabilmek için öncelikle kendi bilgisayarımızdaki Microsoft Defender sistemini devre dışı bırakarak Mimikatz zararlısını kendi makinemize indiriyoruz.
İndirme işlemi tamamlandıktan sonra, mimikatz zararlımızı Microsoft Defender ve ATP güvenlik sisteminden atlatabilecek formata dönüştürebileceğimiz Huan isimli Encrypted PE Loader Generator aracımızı kullanıyor olacağız.
Huan, PE dosyasını her seferinde farklı anahtarlarla çalıştırılmak üzere şifreler ve onu yükleyici dosyasının bir bölümüne gömmektedir. Buda, zararlının güvenlik sistemleri tarafından direkt olarak algılanmasını önlemektedir. (Huan'ı indirmek için buraya tıklayınız.) İndirme işlemi sonrasında mevcut aracı derlemeniz gerekmektedir.
Aracımızı derledikten sonra;
Adım 1: İndirmiş olduğumuz mimikatz.exe dosyasını Huan.exe'nin bulunduğu dizine kopyalayalım.
Adım 3: .\Huan.exe .\mimikatz.exe Mimikatz_New.exe komutumuzu yazıp çalıştırıyoruz.
Adım 4: Artık elimizde, Mimikatz zararlımızın Huan ile encrypt edilmiş Mimikatz_New.exe isimli yeni hali var.
Adım 5: Bundan sonra tek yapmamız gereken Huan ile oluşturmuş olduğumuz Mimikatz_New.exe isimli zararlımızı Microsoft Defender veya Microsoft Defender ATP kurulu olan kurbanımızın bilgisayarında çalıştırmak. Hemen test edelim, herhangi bir uyarı ya da engelleme oluşacak mı?
Yukarıdaki ekran görüntüsünde de göreceğiniz üzere herhangi bir şekilde engellenmeden Mimikatz zararlımızı başarılı bir şekilde çalıştırabildik.
Bir blog yazısının daha sonuna gelmiş bulunuyoruz. Umarım keyif alarak takip ettiğiniz bir yazı olmuştur.
Soru, görüş ve önerileriniz olması durumunda iletişim formundan veya sosyal medya hesaplarım üzerinden bana ulaşabilirsiniz.
Sevgilerle.