Windows Log Analizi — RID Hijacking İşlemi ve Analizi

Bu yazımızda exploit edilmiş bir sistemde RID Hijacking işlemini ve analizini ele alacağız.

Analiz işlemini yapabilmek için Local Security Policy’de “Audit object access” politikası aşağıdaki şekilde güncellenmelidir.

Hedef sistemde mevcut bir sisteme ait RID başka bir kullanıcıya göre ayarlanarak farklı yetkilerde komut çalıştırmaya izin verilmesi işlemine RID Hijacking denilmektedir.

Sisteme MS17–010 zafiyeti ile girdikten sonra oturumu arka plana atıyoruz. Ve post/windows/manage/rid_hijack modülünün bilgilerini aşağıdaki şekilde güncelleyelim:

İşlemin tamamlanması sonucu karşımıza çıkan ekran görüntüsü aşağıdaki şekildedir:

Daha sonra ise exploit/windows/smb/psexec modülünü kullanarak sisteme giriş yapalım.

Exploit çalıştırıldıktan sonra ekran görüntüsü aşağıdaki şekildedir:

Guest kullanıcısı ile RID Hijacking aracılığıyla sisteme giriş yapıldığı için sistemde NT AUTHORITY\SYSTEM yetkisi ile işlem yapabiliriz.

RID Hijacking işlemi analizinde ilk olarak kullanıcılarla ile ilgili bilgilerin elde edilmesi için net komutu çalıştırılmaktadır.(4688 Event ID filtrelenebilir)

Daha sonra ise 4656 Event ID’yi filtrelediğimiz zaman lsass.exe process’inde obje adı olarak *\Account\Users\000001F5 olarak gözlemlenmektedir.

Psexec ile bağlantı esnasında ise powershell aracılığıyla bağlantı sağlanmıştır. Bu işlem için de 5156 Event ID filtrelenebilir.