Windows Log Analizi —APT-Hunter

Bu yazımızda APT-Hunter kullanımı ele alınacaktır.

İlk olarak Event Viewer’ı açarak logların dışarıya çıkartılmasını sağlayalım.

Dışarıya çıkartmak istediğimiz logu sağ tıklayıp “Save All Events As…” butonuna basalım.

Logun adını ne diye kaydetmek istiyorsak yazıp “Save” butonuna basıyoruz.

Karşımıza çıkan ekranda “OK” butonuna basarak devam ediyoruz.

APT-Hunter uygulamasını Pycharm ile kullanacağız.

Uygulamayı çalıştırmak için aşağıdaki komut kullanılabilir:

python APT-Hunter.py -p C:\Users\instructor\Desktop\loglar\Security.evtx -o Security

Çıktıda sonuçlar proje çıktısı olarak kaydedilmektedir.

İçerisinde “python3” geçen ifadeleri tespit etmek için aşağıdaki komutu kullanabiliriz:

python APT-Hunter.py -hunt “python3” -p C:\Users\instructor\Desktop\loglar\Security.evtx -o Security

Çıktı Security_hunting.csv olarak kaydedilmiştir:

Örneğin yetki yükseltme için aşağıdaki ifadeler aratılabilir:

“(cacls|accesschk.exe|runas|sc|tasklist|msiexec) ”

Komut ise aşağıdaki şekilde güncelleyebiliriz:

python APT-Hunter.py -hunt “(cacls|accesschk.exe|runas|sc|tasklist|msiexec)” -p C:\Users\instructor\Desktop\loglar\Security.evtx -o yetk
i_yukseltme

Kodun çalıştırılması: