Sysmon — Exploit Edilmiş Bir Sistemde Registry ile Kalıcılık ve Analizi
Bu yazımızda MS17–010 ile exploit edilmiş bir sistemde servis bazlı kalıcılığın sağlanma işleminin log analizini ele alacağız.
Windows Log Analizi — Exploit Edilmiş Bir Sistemde Registry ile Kalıcılık ve Analizi yazımıza https://kaleileriteknoloji.medium.com/windows-log-analizi-exploit-edilmi%C5%9F-bir-sistemde-registry-ile-kal%C4%B1c%C4%B1l%C4%B1k-ve-analizi-f2ff4ea4022?source=friends_link&sk=905be380e1680fbd37a11babeb5ed99a linki üzerinden ulaşabilirsiniz.
Kalıcılık işlemi için regeditten aşağıdaki belirtilen registry kayıtlarını incelememiz veya takip etmemiz gerekmektedir:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
İlk olarak servis bazlı kalıcılık için exploit/windows/local/persistence_service kullanarak SESSİON değerini 1 olarak belirtiyorum. (Çünkü “sessions -l” komutunu kullandığımda aktif olarak session id 1 olarak görüntülenmektedir.)
Kalıcılığın tamamlanması sonucu karşımıza çıkan ekran görüntüsü aşağıdaki şekildedir:
Sysmon Event ID 13 filtresini kullanarak ilgili olay kayıtlarını incelediğimizde “C:\Windows\TEMP\WBVzxxX.exe” zararlı exe’nin Aazl servisi olarak registry eklendiği görüntülenmektedir.
