Windows Log Analizi — Exploit Edilmiş Bir Sistemde Registry ile Kalıcılık ve Analizi
Bu yazımızda MS17–010 ile exploit edilmiş bir sistemde servis bazlı kalıcılığın sağlanma işleminin log analizini ele alacağız.
MS17–010 exploit etme işleminin log analizine https://kaleileriteknoloji.medium.com/windows-log-analizi-ms17-010-exploit-analizi-673d4606712e?source=friends_link&sk=a0c25143af8ab4a709d58542bddbb711 linki aracılığıyla ulaşabilirsiniz.
Windows Log Analizi — Exploit Edilmiş Bir Sistemde Servis ile Kalıcılık ve Analizi yazımıza https://kaleileriteknoloji.medium.com/windows-log-analizi-exploit-edilmi%C5%9F-bir-sistemde-servis-ile-kal%C4%B1c%C4%B1l%C4%B1k-ve-analizi-c062ff52e862?source=friends_link&sk=82d91629f50b1f0c6209bcb1d3992bd5 linki aracılığıyla ulaşabilirsiniz.
Registry işleminde analiz yapabilmek için ilk olarak Local Security Policy’de Security Settings->Local Policies->Audit Policy alanından “Audit object access” politikasını aşağıdaki şekilde güncelliyoruz.
Kalıcılık işlemi için regeditten aşağıdaki belirtilen registry kayıtlarını incelememiz veya takip etmemiz gerekmektedir:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Registry kaydını aktif hale getirebilmek için auditing işlemini yapmamız gerekmektedir. Bu işlemi örnek olması açısından sadece HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run için ele alacağız. Bu alanı sağ tıklayarak “Permissions” butonuna basıyoruz.
Karşımıza çıkan ekranda “Advanced” butonuna basıyoruz.
Karşımıza çıkan ekranda “Auditing” sekmesine gelerek “Add” butonuna tıklıyoruz.
Karşımıza çıkan ekranda object name olarak “Everyone” yazıyoruz. “Check Names” butonuna tıklayıp “OK” butonuna basıyoruz.
Karşımıza çıkan ekranda bu işlem için “Set Value” ve “Create Subkeys” alanlarında succesful olan kısımları seçiyoruz ve “OK” butonuna basıyoruz.
Şimdi ise sırayla “Apply” ve “OK” butonlarına basıp analiz için gerekli ön işlemi tamamlamış oluyoruz.
İlk olarak servis bazlı kalıcılık için exploit/windows/local/persistence_service kullanarak SESSİON değerini 83 olarak belirtiyorum. (Çünkü “sessions -l” komutunu kullandığımda aktif olarak session id 83 olarak görüntülenmektedir.)
Kalıcılığın tamamlanması sonucu karşımıza çıkan ekran görüntüsü aşağıdaki şekildedir:
Event Viewer ile analiz aşamasında 4663 Event ID’li logları filtreleyebiliriz:
Logları incelediğimizde spoolsv.exe aracılığıyla(MS17–010 zafiyetini kullanarak sisteme giriş yaptığımız için) registry bir key oluşturulmuştur.