Sysmon — RID Hijacking İşlemi ve Analizi

Bu yazımızda exploit edilmiş bir sistemde RID Hijacking işlemini ve analizini ele alacağız.

Hedef sistemde mevcut bir sisteme ait RID başka bir kullanıcıya göre ayarlanarak farklı yetkilerde komut çalıştırmaya izin verilmesi işlemine RID Hijacking denilmektedir.

Sisteme MS17–010 zafiyeti ile girdikten sonra oturumu arka plana atıyoruz. Ve post/windows/manage/rid_hijack modülünün bilgilerini aşağıdaki şekilde güncelleyelim:

İşlemin tamamlanması sonucu karşımıza çıkan ekran görüntüsü aşağıdaki şekildedir:

Daha sonra ise exploit/windows/smb/psexec modülünü kullanarak sisteme giriş yapalım.

Exploit çalıştırıldıktan sonra ekran görüntüsü aşağıdaki şekildedir:

Guest kullanıcısı ile RID Hijacking aracılığıyla sisteme giriş yapıldığı için sistemde NT AUTHORITY\SYSTEM yetkisi ile işlem yapabiliriz.

RID Hijacking işlemi analizinde Sysmon Event ID 1 olduğu olayları filtreleyebiliriz. MS17–010 zafiyeti ile sistemi istismar ettğimiz için Parent Image olarak spoolsv.exe, Guest kullanıcısının parolası atandığı için CommandLine alanında “cmd.exe /c net user Guest kaleileriteknoloji” görüntülenmektedir.

Guest kullanıcısında parola değişikliği olduktan sonra lsass.exe çalıştırıldığı için RID Hijacking olduğunu yorumlayabiliriz.

Windows Log Analizi — RID Hijacking İşlemi ve Analizi yazımıza https://kaleileriteknoloji.medium.com/windows-log-analizi-rid-hijacking-i%CC%87%C5%9Flemi-ve-analizi-ed90d563ba8c?source=friends_link&sk=27d3a307d1040cf684190ccd123221f3 linki üzerinden ulaşabilirsiniz.