Windows Log Analizi — Exploit Edilmiş Bir Sistemde Servis ile Kalıcılık ve Analizi

Bu yazımızda MS17–010 ile exploit edilmiş bir sistemde servis bazlı kalıcılığın sağlanma işleminin log analizini ele alacağız.

MS17–010 exploit etme işleminin log analizine https://kaleileriteknoloji.medium.com/windows-log-analizi-ms17-010-exploit-analizi-673d4606712e?source=friends_link&sk=a0c25143af8ab4a709d58542bddbb711 linki aracılığıyla ulaşabilirsiniz.

İlk olarak servis bazlı kalıcılık için exploit/windows/local/persistence_service kullanarak SESSİON değerini 1 olarak belirtiyorum. (Çünkü “sessions -l” komutunu kullandığımda aktif olarak session id 1 olarak görüntülenmektedir.)

Kalıcılık işlemi gerçekleştiğinde ekran görüntüsü aşağıdaki şekildedir:

Servis aracılığıyla kalıcılık işlemi sağlandığında Event Viewer üzerinden “System” loglarından 7045 Event ID’yi filtreliyoruz. Böylece yeni yüklenen bir servisi tespit edebiliriz.

Aşağıdaki görselde belirtildiği üzere Service Adı “LBBLBbhvNm” şeklinde otomatik başlayacak şekilde oluşturulmuştur.