Windows Log Analizi — Exploit Edilmiş Bir Sistemde Task Scheduler ile Kalıcılık ve Analizi

Bu yazımızda exploit edilmiş bir Windows 7 sistemde Task Scheduler üzerinden kalıcılığın loglar aracılığıyla analizi yapılacaktır.

Analiz işleminden önce ilk olarak Local Security Policy’e geliyoruz. “Audit object access” politikasını success ve failure olacak şekilde güncelliyoruz.

RDP, SMB, FTP ,…., web browser üzerinden indirme ile ya da sistem istismar edildikten sonra cmd.exe , powershell veya Task Scheduler üzerinden oluşturulan bir görev ile kalıcılık sağlanabilir.

Task Scheduler’a oluşturulan görevi görmek için 4698 Event ID’yi filtreliyoruz.

Karşımıza çıkan logları aşağıdaki şekildedir:

Kalıcılık için çalıştırılacak uygulama “C:\Users\Administrator\Downloads\persistence.exe” yolunda persistence adında tespit edilmiştir. Downloads dizininde bulunduğu için bu zararlı yazılım web tarayıcısı aracılığıyla indirilmiş olabilir.

Bu uygulama analiz edilince karşımıza çıkan IOC’ler yara kuralı haline getirilerek sistemlerde taratılabilir ya da IDS/IPS üzerine bu zararlı için imzalar eklenebilir.

Not:

MS17–010 exploit etme işleminin log analizine https://kaleileriteknoloji.medium.com/windows-log-analizi-ms17-010-exploit-analizi-673d4606712e?source=friends_link&sk=a0c25143af8ab4a709d58542bddbb711 linki aracılığıyla ulaşabilirsiniz.

Windows Log Analizi — Exploit Edilmiş Bir Sistemde Servis ile Kalıcılık ve Analizi yazımıza https://kaleileriteknoloji.medium.com/windows-log-analizi-exploit-edilmi%C5%9F-bir-sistemde-servis-ile-kal%C4%B1c%C4%B1l%C4%B1k-ve-analizi-c062ff52e862?source=friends_link&sk=82d91629f50b1f0c6209bcb1d3992bd5 linki aracılığıyla ulaşabilirsiniz.

Windows Log Analizi — Exploit Edilmiş Bir Sistemde Registry ile Kalıcılık ve Analizi yazımıza https://kaleileriteknoloji.medium.com/windows-log-analizi-exploit-edilmi%C5%9F-bir-sistemde-registry-ile-kal%C4%B1c%C4%B1l%C4%B1k-ve-analizi-f2ff4ea4022?source=friends_link&sk=905be380e1680fbd37a11babeb5ed99a linki aracılığıyla ulaşabilirsiniz.