Sysmon — Exploit Edilmiş Bir Sistemde Servis ile Kalıcılık ve Analizi

Bu yazımızda MS17–010 ile exploit edilmiş bir sistemde servis bazlı kalıcılığın sağlanma işleminin log analizini ele alacağız.

İlk olarak servis bazlı kalıcılık için exploit/windows/local/persistence_service kullanarak SESSİON değerini 2 olarak belirtiyorum. (Çünkü “sessions -l” komutunu kullandığımda aktif olarak session id 2 olarak görüntülenmektedir.)

Kalıcılık işlemi gerçekleştiğinde ekran görüntüsü aşağıdaki şekildedir:

Servis kalıcılık analizinde Event ID 13 olduğu olay kayıtlarında yeni servisin eklenip eklenmediği araştırılabilir. Aşağıdaki olay kaydında bir anahtar ve değerinin eklendiği görülmektedir. Servis adı “KwTZiDMW” ve ilgili meterpreter servisinin yolu “C:\Windows\TEMP\oNjFIYEm.exe”dir.

ProcessId olarak yukarıdaki görselde 484 gördüğümüz process id’nin Event ID 1 olduğu olay kayıtlarında parent process id olarak incelenmesini sağlayarak registry’e kaydedilen anahtar üzerinden ilgili servisin çalıştırılıp çalıştırılmadığını tespit edebiliriz. Aşağıdaki görselde servis.exe tarafından “C:\Windows\TEMP\oNjFIYEm.exe” çalıştırıldığı gözlemlenmiştir.

Windows Log Analizi — Exploit Edilmiş Bir Sistemde Servis ile Kalıcılık ve Analizi yazımıza https://kaleileriteknoloji.medium.com/windows-log-analizi-exploit-edilmi%C5%9F-bir-sistemde-servis-ile-kal%C4%B1c%C4%B1l%C4%B1k-ve-analizi-c062ff52e862?source=friends_link&sk=82d91629f50b1f0c6209bcb1d3992bd5 linki üzerinden ulaşabilirsiniz.