Windows Log Analizi — Reverse Shell Analizi

Bu yazımızda nc ile reverse shell alındıktan sonra Windows sistemde bu işlemin log analizini ele alacağız.

Bunun için ilk olarak Local Security Policy açıp Security Settings->Local Policies->Audit Policy gelip “Audit process tracking” politikasını success ve failure olarak güncelliyoruz. Böylece nc.exe loglanması sağlanacaktır.

Not: “Audit object access” politikasını aktif hale getirmek iyi bir çözüm olabilir. 5156 Event ID ile yapılan bağlantı bu şekilde gözlemlenebilir. Fakat nc.exe ile reverse shell alındığında bu işlem gözlemlenmemektedir.

Şimdi reverse shell alma işlemine başlayalım. İlk olarak kaliden nc ile 5555 nolu portu dinlemeye alalım.

Daha sonradan Windows’ta nc aracılığıyla reverse shell almak için aşağıdaki komutu kullanalım.

Reverse shell aldığımızda Kali’deki ekran görüntümüz aşağıdaki şekildedir:

Windows loglarında yeni oluşan process görmek için 4688 Event ID’yi filtreyebiliriz.

İlgileneceğimiz 4688 Event ID’li loglar aşağıdaki şekildedir:

New Process ID benzersiz bir ID tanımlar ve processler arasındaki geçişlerin incelenmesi için kullanılabilir. nc.exe ile işlem yapılırken cmd.exe çalışmıştır. Çünkü reverse shell alınırken cmd.exe tetiklenir. Aşağıdaki “New Process ID” ve “Creator Process ID” leri takip ederek bunu tespit edebiliriz.

Not: nc.exe’nin adının değiştirilebileceği unutulmamalıdır. Herhangi bir process’ten sonra ona bağlı bir cmd.exe oluşturuluyorsa burada muhtemel bir reverse shell alma işlemi yapılmıştır.

Not: “Token Elevation Type” Tip 1 olması durumunda hiçbir ayrıcalık kaldırılmamıştır. Kullanıcı yönetici hesabı ise kullanılabilir.