Windows Log Analizi — MS17–010 Exploit Analizi
Bu yazımızda ilk olarak MS17–010 zafiyeti bulunan Windows 7 sistemi exploit edip bu işlemin log analizini Event Viewer üzerinden yapacağız.
Saldırı ve analiz işlemine geçmeden önce Windows 7 üzerinde “Local Security Policy” üzerinden “Audit object access” ve “Audit process tracking” politikalarını yeni oluşan processleri ve bağlantıları gözlemleyebilmek için aşağıdaki şekilde düzenliyoruz.
Şimdi ise MS17–010 eternal_blue exploiti için aşağıdaki şekilde exploit’u düzenleyelim:
“Exploit” komutunu kullanarak exploit etme işlemini başlayalım ve shell komutu aracılığıyla “whoami” komutunu aşağıdaki şekilde çalıştıralım.
Analiz kısmında ise Event Viewer’ı açalım ve Event ID’si 5156 olan olayları inceleyelim. MS17–010 zafiyeti exploit edilirken “Application Name” alanında “spoolsv.exe” görülmektedir. Ve destination portta olarak kullanılan 4444 metasploit frameworkte varsayılan olarak kullanılan LPORT olduğu unutulmamalıdır.
4688 Event ID’ler incelendiğinde çalıştırılan komutun tespit edilmesi için “New Process Name” alanında cmd.exe takip edilebilir.
Böylece ilk olarak “shell” komutu ile birlikte cmd.exe çalıştırılmıştır. Process ID’ler takip edildiğinde cmd.exe’den sonra ise whoami komutu çalıştırıldığı belirlenmiştir.
NOT: Sistemlerde MS17–010 zafiyet taraması sonucu ve 4688 ve 5156 Event ID’ye sahip logların korele edilmesi ile daha efektif analizler yapabiliriz.
