Windows Log Analizi — Exploit Edilmiş Bir Sistemde Startup File ile Kalıcılık ve Analizi

Windows Log Analizi — Exploit Edilmiş Bir Sistemde Startup File ile Kalıcılık ve log analizi yapılacaktır.

Analiz işleminden önce ilk olarak Local Security Policy’e geliyoruz. “Audit object access” politikasını success ve failure olacak şekilde güncelliyoruz.

Daha sonra “C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup” dizininde username(1) alanını ilgili kullanıcıya göre auditing işlemini aktif hale getirmemiz gerekmektedir. Bunun için Startup klasörünü sağ tıklıyoruz ve “Properties” butonuna basıyoruz.

Açılan menüde Security sekmesine gelip “Advanced” butonuna basıyoruz.

Karşımıza çıkan menüde “Auditing” sekmesine gelip “Edit” butonuna basıyoruz.

Karşımıza çıkan menüde “Add” butonuna basıyoruz.

Karşımıza çıkan ekranda obje alanına username(1) alnına girdiğimiz kişiyi yazabiliriz veya herkes için “Everyone” yazarak “Check Names” butonundan sonra “OK” butonu tıklanmalıdır.

Karşımıza çıkan ekranda kontrol edilmesini istediğimiz özellikleri aşağıdaki şekilde seçebiliriz:

Şimdi ise kalıcılık işlemine başlayalım, bunun için ilk olarak msfvenom aracılığıyla bir exe oluşturalım.

MS17–010 zafiyetini istismar ederek girmiş olduğumuz sistemde persistence.exe’yi Startup klasörünün içerisine yüklüyoruz.

Şimdi ise msfvenomda oluşturmuş olduğumuz exe ile aynı payloadu kullanacak şekilde exploit/multi/handler’ı ayarlayalım.

Ve run komutunu kullanalım. Windows 7 sistemi yeniden başladığında multi/handler aracılığıyla meterpreter’ın geldiğini aşağıdaki şekilde görebiliriz:

Log analizi kısmında ise 4663 Event ID’yi filtreleyebiliriz:

Startup klasörü altındaki persistence.exe’nin 8.11.2021 tarihinde 3:39:54 PM’de çalıştığı gözlemlenmiştir.

Eğer istenirse Handle ID takip edilerek dosyanın sistemde oluşturulduğu zaman tespit edilebilir. (Accesses: Write Data)

Dosyanın sistemde oluşturulduğu zaman aracılığıyla da process tespiti yapılabilir.