Windows Log Analizi — Exploit Edilmiş Bir Sistemde Volume Shadow Copy Aracılığıyla Kalıcılık ve Log Analizi

Shadow Copy, Windows sistemlerde dosyaların yedeklerin otomatik veya manuel alınmasına izin veren bir teknolojidir.

Bu uygulamada ise shadow copy aracılığıyla kalıcılık işlemini sağlayıp log analizinin yapılmasını ele alacağız.

Analiz işlemi için ilk olarak Local Security Policy’de “Audit object access” politikasını aşağıdaki şekilde güncelliyoruz.

Daha sonra C:\Windows\Temp dizini için auditing ayarlarını düzenlememiz gerekmektedir. Temp dizini sağ tıklayıp “Properties” butonuna basıyoruz.

Security sekmesine geliyoruz ve “Advanced” butonuna basıyoruz.

Daha sonra “Auditing” sekmesine geliyoruz. Ve “Edit” butonuna basıyoruz.

“Add” butonuna basıyoruz.

Karşımıza çıkan menüde obje girme alanına “Everyone” yazıyoruz. “Check Names” butonuna basıyoruz ve daha sonra “OK” butonuna basıyoruz.

Karşımıza çıkan ekranda aşağıdaki yetkilerin izlenmesini sağlıyoruz.

Şimdi ise Kali’ye geri dönüp exploit/windows/local/vss_persistence ‘a ayarları aşağıdaki şekilde dolduruyoruz.

Kalıcılık işleminin başarılı şekilde gerçekleştiğini aşağıdaki görselde gözlemleyebiliriz.

Şimdi ise Event Viewer’ı açıp 4663 Event ID’sini filtreleyebiliriz.

Loglarda “Accesses” alanınında “WriteData” bulunmalıdır.

Burada spoolsv.exe processi tarafından svhost60.exe oluşturulmuştur. spoolsv.exe’yi MS17–010 exploitini kullandığımız için görüntülenmektedir.

Dosyanın çalıştırıldığını aşağıdaki şekilde görüntüleyebiliriz: