Olay Günlüklerine Giriş
Olay günlükleri, Windows bilgisayarda meydana gelen olayların kayıtlarıdır. Bunlar, kullanıcı oturum açma işlemleri, hizmetin başlatılması veya durdurulması gibi sistem olaylarının yanı sıra sistem hataları vb. uygulama olayları hakkında hayati bilgiler içerir. Olay günlükleri ayrıca, kullanıcının yanlış bir kimlikle oturum açma girişimleri gibi güvenlik olaylarını da içerir. şifre veya şüpheli etkinlik tespit edildiğinde. Olay günlükleri, sorunları giderme, sorunları takip etme ve kalıpları veya eğilimleri tanımlama dahil olmak üzere çeşitli amaçlar için faydalıdır. Ayrıca güvenlik ihlallerini veya uyumluluk ihlallerini denetlemek ve izlemek gibi güvenlik ve uyumluluk amaçları için de kullanılabilirler.
Olay günlükleri genellikle bir bilgisayarda veya sunucuda saklanır ve Windows sisteminde Olay Görüntüleyici veya Linux sisteminde logrotate gibi araçlar kullanılarak görüntülenebilir ve erişilebilir. Ayrıca Windows Uzaktan Olay Günlüğü Yönetimi gibi araçlar kullanılarak uzaktan görüntülenebilir ve bunlara uzaktan erişilebilir.
Olay günlükleri insan tarafından okunabilir biçimde değil, ikili biçimde depolanır. Bu logları web logları veya linux logları gibi metin editörleri ile okuyamıyoruz. Olay günlüklerini insan tarafından okunabilir formata dönüştüren özel araçlara ihtiyacımız var. Olay günlükleri şu konumda saklanır: “C:\Windows\System32\Winevt\Logs”
Olay günlüğü dosyaları “evtx” uzantısına sahiptir. Burada bir olay günlüğü dosyasının özellikleri verilmiştir.
Olay günlükleri, kaydedilen bilgilerin niteliğine göre kategorilere ayrılır. Windows işletim sistemi ve işletim sistemi tarafından gerçekleştirilen işlemlerle ilgili olay günlükleri şu şekilde kategorize edilir:
Uygulama Günlükleri : Yüklenen uygulamalarla ilgili olaylar burada saklanır.
Güvenlik Günlükleri : Oturum açma/kapama, RDP başarılı/başarısız bağlantıları, yüklenen hizmetler, oluşturulan görevler vb. ile ilgili olaylar burada saklanır.
Sistem Günlükleri : Donanım durumları, sürücüler vb. ile ilgili olaylar burada saklanır.
Kurulum: Kurulum günlüğü, Windows işletim sisteminin kurulumu sırasında meydana gelen olayları içerir. Etki alanı denetleyicilerinde bu günlük, Active Directory ile ilgili olayları da kaydeder.
İletilen Olaylar: Aynı ağdaki diğer bilgisayarlardan iletilen olay günlüklerini içerir.
Bu günlükler “Windows günlükleri” olarak kategorize edilir. Sistemde kurulu uygulamalarla ilgili yerel veya kullanıcılar tarafından yüklenen ayrıntılı günlükleri saklayan “Uygulama ve Hizmet günlükleri” adı verilen başka bir kategori daha vardır.
Uygulamaların çoğunluğunun olay günlükleri Microsoft->Windows altında saklanır. Önümüzdeki derslerde Windows Defender, güvenlik duvarı günlükleri ve RDP günlüklerini tartışacağız.
Olay kimliği, olay günlüğüne kaydedilen her olaya atanan sayısal bir tanımlayıcıdır. Belirli bir olayı veya olay türünü tanımlamak için kullanılan benzersiz bir tanımlayıcıdır. Olay kimlikleri genellikle olay hakkında daha fazla bağlam sağlamak için olay kaynağı ve olay zamanı gibi diğer olay günlüğü verileriyle birlikte kullanılır. Örneğin bilgisayarımızda başarılı bir şekilde oturum açtığımızda Güvenlik günlüğüne Olay Kimliği 4624 ile bir olay kaydedilir.
Olay Kimlikleri, benzer olayları hızlı bir şekilde tanımlamanıza ve gruplandırmanıza olanak tanıdığından, olay günlüğü verilerini filtrelemek ve düzenlemek için kullanışlıdır. Birçok olay günlüğü, ortak olay kimliklerinin ve bunların anlamlarının bir listesini içerir; bu, kaydedilen olayların yorumlanmasına ve anlaşılmasına yardımcı olabilir. Önümüzdeki derslerde SOC analistleri ve olay müdahale ekipleri için yararlı olan birçok Olay Kimliğini tartışacağız.
Olay günlükleri ayrıca olay türlerine göre sınıflandırılır. Bu, ne tür bir olayın kaydedildiğini gösterir. Bunlara seviyeler de denir. 5 tür olay günlüğü vardır.
Bilgi : Bu olay türü, bir işlemin başarıyla tamamlandığı ve genel bir açıklamasının kaydedildiği anlamına gelir.
Uyarı : Bu olay türü, gelecekteki olaylarda daha büyük sorunlara neden olabilecek bir tür küçük sorunun olduğu anlamına gelir.
Hata : Bu tür bir olay, işlevsellik kaybına neden olan bir sorun oluştuğu anlamına gelir.
Kritik: Bir uygulamadaki veya sistemdeki acil müdahale gerektiren önemli bir sorunu belirtir.
Ayrıntılı: Belirli bir olaya ilişkin ilerleme veya başarı mesajlarını belirtir.
Windows Güvenlik günlüklerindeki düzeylere benzer anahtar sözcükler de vardır. Önemli şeylerden bazıları şunlardır.
Denetim Başarısı : Bu olay türü, başarılı güvenlik erişiminin denendiği anlamına gelir.
Denetim Hatası: Bu tür bir olay, başarısız bir güvenlik erişimi girişiminde bulunulduğu anlamına gelir.
Olay Günlüğü Analizi
Bu derste olay günlüklerini görüntülemek ve analiz etmek için kullanılan bazı araçları tartışacağız. Olay günlüklerinin insan tarafından okunabilir formatta olmadığını, dolayısıyla herhangi bir normal metin düzenleyiciye güvenemeyeceğimizi daha önce tartışmıştık. Windows sistemlerinde yerel olarak bulunan üç aracı tartışacağız.
Etkinlik göstericisi
Olay görüntüleyici, Windows’ta yerel olarak bulunan GUI tabanlı bir uygulamadır. Kursun geri kalanında bu aracı kullanacağız, bu nedenle çok dikkatli olun. Windows aramasında olay görüntüleyici aranarak başlatılabilir:
Bu olay görüntüleyicinin ana menüsüdür. Solda olay günlüklerini, ortada bilgisayarda hangi düzeyde olay günlüğünün saklandığını gösteren özeti, sağda ise birazdan bahsedeceğimiz Eylemler sekmesini görebilirsiniz.
Ana günlüklerimiz Windows günlüklerinde olacaktır. Genişletelim.
Burada Güvenlik, Uygulama ve Sistem gibi tartıştığımız bazı Olay günlüklerini görüyoruz. Bu derste etkinlik görüntüleyicileri ve yalnızca ilgilendiğimiz verileri görüntülemek için nasıl verimli bir şekilde arama ve filtreleme yapacağımızı keşfedeceğiz. Sistem günlüklerini seçelim:
Burada orta bölmede Sistem Günlükleri altında kategorize edilen olay günlüklerini görüyoruz. Olayın düzeyini, olayın işletim sistemi tarafından kaydedildiği tarihi ve saati, olayı kaydeden kaynak yazılımı/uygulamayı, olayın Olay Kimliğini, Görev kategorisini görebiliriz, böylece olayları organize etmeye yardımcı olur, böylece gerekirse bunu yapın.
Üstte seçilen kategorideki etkinlik sayısını görebiliriz. Bizim durumumuzda Sistem günlüklerinde 42.380 olay var.
İkinci olayı seçelim. O etkinliğe ilişkin bilgileri aşağıda görebiliriz:
Burada bu olayın ne olduğunu ve nasıl meydana geldiğini görebiliriz ve yukarıda tartıştığımız bilgilerin aynısı ve kullanıcı adı ve bilgisayar adı gibi daha fazla bilgi de burada görüntülenir.
Detaylar görünümüne tıklayarak bu bilgiyi başka bir sunum türünde görüntüleyebiliriz. Burada verileri kolay görünümde veya xml görünümünde görebiliriz.
Şimdi Eylem sekmesini tartışalım:
Günlükleri Olay Kimliğine veya tarih ve saate göre filtreleyebiliriz. “Geçerli Günlüğü Filtrele”ye tıklayın.
Etkinlik ID’leri bazında filtreleme yapmak istiyorsak buraya tıklayın ve görüntülemek istediğiniz etkinliklerin etkinlik ID’sini girin.
Şu ana kadar tartıştığımız aynı sistem günlüklerindeki olay kimliği 7040’ı filtreleyelim. Etkinlik kimliğini girdikten sonra Tamam’ı tıklayın.
Artık yalnızca etkinlik kimliği 7040 olan etkinlikleri görebiliyoruz. En üstte, etkinliklerin etkinlik kimliği 7040’a göre filtrelendiğini ve bu etkinlik kimliğine sahip 6.658 etkinlik olduğunu görebiliyoruz.
Ayrıca, virgülle ayrılmış etkinlik kimlikleri sağlayarak birden fazla etkinlik kimliğini de filtreleyebiliriz:
Günlükleri tarih ve saate göre daha fazla filtreleyebiliriz. Event ID filtrelerini tarih ve saat filtrelerinin yanında kullanabiliriz veya bağımsız olarak da kullanabiliriz. Bunu mevcut filtremizin üstüne yapalım. Geçerli günlüğü tekrar filtrele’yi tıklayın. Açılır menüyü tıklayın.
Önceden tanımlanmış zamanı seçebilir veya özel aralık sağlayabiliriz.
Özel bir aralık seçelim.
Başlangıç ve Bitiş açılır menülerinde “Olaylar açık” seçeneğini seçin.
Şimdi etkinlikleri görmek istediğimiz saat ve tarih aralıklarını seçin. 14 Aralık 2022 12:00:00 ile 15 Aralık 2022 12:00:00 arasındaki etkinlikleri filtreleyelim.
14-15 Aralık 2022 tarihleri arasında, olay kimlikleri 7040 ve 10016 olan toplam 22 olayın gerçekleştiğini görebiliyoruz.
Filtreyi kaldırmak istiyorsak “Filtreyi Temizle” seçeneğine tıklayın.
Not: Olayları bilgisayardan sileceği için “Günlüğü Temizle” seçeneğine tıklamayın.
Olay kayıtlarını kaydetmek istiyorsanız “Seçili Olayları Kaydet”e tıklayın. Orta bölmede görüntülenen olaylar kaydedilecektir. Dolayısıyla, etkinliklere filtre uygulayıp ardından etkinlikleri kaydederseniz, filtrelenen etkinliklerin tümü değil, bu etkinlikler kaydedilir.
Bu bölümde, olay günlüklerini ihtiyaçlarımıza göre verimli bir şekilde okumak ve filtrelemek için olay görüntüleyiciyi nasıl kullanacağımızı tartıştık.
Şimdi CLI tabanlı ve Windows sistemlerine özgü diğer 2 aracı kısaca tartışacağız.
Web Yardımcı Programı:
Wevtutil, olay günlükleri hakkında bilgi almamıza, filtre uygulamamıza, günlükleri temizlememize vb. olanak tanıyan, komut satırı tabanlı bir araçtır. Araç çalıştırmasının yardım menüsünü görüntülemek için.
“wevtutil.exe /?” yönetici cmd’sinde.
Mevcut olay günlüklerini görüntülemek için şunu çalıştırın:
Mevcut tüm günlükleri listeleyecek “wevtutil.exe el”.
Kullanabilirsiniz “/?” bir komut hakkında daha fazla bilgi listelemek için
Wevtutil kullanarak bir etkinliği görüntülemeyi deneyelim:
Komut: “wevtutil.exe qe Sistem /c:3 /rd:true /f:text”
Yukarıdaki komutta kullandığımız argümanları anlamak için yardım menüsüne başvurabilirsiniz.
Get-WinEvent
Bu, yerel ve hatta uzak bilgisayarlardaki olay günlüklerindeki olayları okumamızı sağlayan bir PowerShell cmdlet’idir. Karma tablo sorguları, yapılandırılmış XML sorguları vb. gibi sorguları kullanarak birden fazla kaynaktan gelen verileri tek bir komutta birleştirmeye olanak tanıdığı için çok esnek bir araçtır. Ayrıntıya girmeyeceğiz, yalnızca bu aracın temel komutlarını inceleyeceğiz.
Powershell’i yönetici olarak açın. Şu komutu kullanarak mevcut olay günlüklerini listeleyebiliriz:
“Get-WinEvent -Listlog *”
Not: Bu komut wevtutil’in el argümanına benzer.
Günlükleri herhangi bir olay günlüğünden filtreleyebilir ve olayın Olay Kimliği veya Kaynağına göre filtreleyebiliriz. Olayları sistem loglarından ve Olay Görüntüleyici bölümünde gördüğümüz “Servis Kontrol Yöneticisi” kaynağından görüntüleyelim:
Komut: “Get-WinEvent -LogName Sistemi | Where-Object {$_.ProviderName -Match ‘Hizmet Kontrol Yöneticisi’}”
Kimlik Doğrulama Olay Günlükleri
Kaba kuvvet kimlik doğrulaması, olası her parola kombinasyonunu veya diğer kimlik doğrulama faktörlerini deneyerek bir bilgisayara veya başka bir sisteme yetkisiz erişim elde etmeye çalışan bir yöntemdir. Saldırganlar, ihlallerden veya sosyal mühendislik gibi diğer kaynaklardan kullanıcı hesaplarının şifrelerini elde edebilir. Windows sistemlerinde bir bilgisayara giriş yaptığımızda ve bir oturum başlattığımızda bu olay günlüklerine kaydedilir. Benzer şekilde giriş yapamadığımızda o başarısız girişim de kayıt altına alınıyor. Bu bilgileri potansiyel olarak kaba kuvvet girişimlerini veya şüpheli etkinlikleri bulmak için kullanabiliriz.
Bu olayları görüntüleyerek birisinin kendisine ait olmayan bir hesaba giriş yapmaya çalıştığını tespit edebiliriz. Örneğin, olay günlüklerinde çok sayıda başarısız deneme görürsek ve ardından başarılı bir giriş görürsek, dışarıdan bir kişinin/tehdidin yetkisiz bir hesaba erişim sağlaması ihtimaline karşı o kullanıcı hesabını daha ayrıntılı olarak araştırmamız gerekir. Benzer şekilde RDP (Uzak Masaüstü Protokolü) için başarısız ve başarılı kimlik doğrulama girişimlerini görebiliriz.
Windows’ta 9 tür oturum açma türü vardır. Oturum açma türlerinden bazıları şunlardır:
Etkileşimli (Oturum Açma türü 2) : Bu tür oturum açma, kullanıcı bilgisayarda fiziksel olarak oturum açtığında gerçekleşir.
Ağ (Oturum açma türü 3) : Bu tür oturum açma, bir kullanıcı veya bilgisayarın ağ üzerinden bilgisayarda oturum açması durumunda gerçekleşir.
Toplu İş (Oturum Açma türü 4) : Bu tür oturum açma, toplu sunucular tarafından kullanılır. Zamanlanmış görevler, insan müdahalesi olmadan kullanıcı adına yürütülür.
Hizmetler (Oturum açma türü 5) : Bu oturum açma türü, bir hizmeti çalıştırmak için oturum açan hizmetler ve hizmet hesapları için kullanılır.
RemoteInteractive (Oturum açma türü 10) : Bu oturum açma türü, bir kullanıcı Uzak Masaüstü, Uzaktan Yardım veya Terminal Hizmetleri gibi RDP uygulamaları aracılığıyla bilgisayara uzaktan eriştiğinde oluşur.
Tip 5 (Hizmetler) dışındaki Oturum Açma türlerine odaklanılması gerektiğini unutmamak önemlidir. Güvenlik günlüklerini açtığımızda, kısa bir süre içinde çok sayıda başarılı oturum açma işleminin gerçekleştiği çok sayıda etkinlik göreceğiz. Bu oturum açma işlemlerinin çoğu, bir kullanıcı oturum açtığında hizmetler ve hizmetler hesabı tarafından gerçekleştirilen 5 tipindedir. Bu da çok fazla gereksiz gürültüye neden oluyor ve olayları analiz etmemizi zorlaştırıyor.
Şimdi olay günlüklerinde başarılı ve başarısız kimlik doğrulamayı tespit etmeye başlayalım.
Yerel/Etki Alanı Kullanıcı Kimlik Doğrulama Girişimleri
Başarılı girişimler
Bilgisayarımızda başarılı bir şekilde oturum açtığımızda ve oturumumuza başladığımızda, Windows Güvenlik Günlüklerinde Olay Kimliği “4624” ile olayın meydana geldiği tarih ve saat ve Anahtar Kelimeler “Denetim başarısı” ile birlikte bir olay kaydedilir. Olay kimliği 4624 olan olayları filtreleyelim.
Daha önce tartıştığımız gibi, birçok başarılı oturum açma işlemi görüyoruz. Bunlar çoğunlukla Oturum Açma türü 5’tir ve bir oturum başlatıldığında Windows tarafından yapılır. Bir olay görelim.
Burada bu oturum açma işleminin Services.exe tarafından yapıldığını ve 5 tipinde olduğunu görebiliriz. Oturum açma sırasındaki olay günlüklerini filtrelersek, 5 dışında bir oturum açma türü bulmamız gerekir.
Şimdi tip 2 (Etkileşimli) oturum açmayı bulmaya çalışalım.
Bizim durumumuzda oturum açma türü 2’dir; bu, kullanıcının sistemle fiziksel olarak etkileşime girerek bilgisayarda başarıyla kimlik doğrulaması yaptığı anlamına gelir. Kullanıcı hesap adını ve hesabın alan adını görebiliriz. Kimlik doğrulama girişimlerinin niteliği, olayın oturum açma türüne bağlıdır. Bu derste etkileşimli ve RDP oturum açma türlerini yalnızca analiz prosedürü hepsi için aynı olduğundan tartışacağız.
Başarısızlıkla sonuçlanmış denemeler
Şimdi bazı başarısız kimlik doğrulama girişimlerini görelim. Başarısız kimlik doğrulama girişimlerinin olay kimliği “4625”tir. Bu etkinlik kimliğiyle filtreleme yapıp sonuçları görüntüleyelim.
Kısa bir süre içinde 7 başarısız kimlik doğrulama girişimini görebiliriz. Ayrıntılarını görüntülemek için bir etkinliğe tıklarsak:
Oturum açma türünü, oturum açmanın başarısız olduğu hesap adını ve hata nedenini görebiliriz. Bu, kullanıcının yazım hatası olarak doğru şifreyi ve yanlış kullanıcı adını girmesi durumunda yararlı olabilir. Kısa bir süre içinde birden fazla arızayı bir arada gördüğümüzden, yasal kullanıcının şifresini unuttuğu veya yetkisiz bir kişinin oturum açmaya çalıştığı sonucuna varabiliriz. Bu da yine bir saldırganın ağda yanal olarak hareket etmeye çalışması ve ağda farklı şifreler denemesi gibi oturum açma türüne bağlıdır. Bu durumda oturum açma türü 3 olacaktır. Varsayımsal senaryomuzu genişletecek olursak, bir ağdaki birden fazla bilgisayarda oturum açma türü 3 (Ağ) için başarısız oturum açma girişimleri görürsek, bu şüpheli bir etkinlik olacaktır ve saldırganın denediği olası bir izinsiz girişin göstergesi olacaktır. yanal hareket gerçekleştirmek için.
Uzak Masaüstü Protokolü Kimlik Doğrulama Girişimleri
RDP, esnekliği ve kolaylığı nedeniyle kurumsal ortamlarda yaygın olarak kullanılmaktadır. Kullanıcılar iş istasyonlarını/bilgisayarlarını uzak konumlardan kolayca kullanabilir veya Sistem Yöneticileri, fiziksel olarak orada bulunmalarına gerek kalmadan sorunları düzeltmek ve cihazları güncellemek için RDP’yi kullanır. Ne yazık ki bu, RDP’yi saldırganların favorisi haline getiriyor. RDP erişimine sahip saldırganlar, fiziksel olarak orada bulunmalarına gerek kalmadan o bilgisayardan herhangi bir işlemi gerçekleştirebilecek. RDP ayrıca saldırganlar tarafından yanal hareket gerçekleştirmek için yaygın olarak kullanılır.
Dikkat edilmesi gereken önemli bir husus, RDP ile ilgili olaylara ilişkin olay günlükleri araştırılırken, uzak bilgisayara RDP aracılığıyla bağlanan kaynak bilgisayarın aynı zamanda o oturumla ilgili olay günlüklerini de saklaması ve RDP kullanıcısının bulunduğu bilgisayarın da o oturumla ilgili olay günlüklerini saklamasıdır. . Saldırganın dahili bir iş istasyonundan diğerine geçmiş olması nedeniyle, dahili bir ağdaki yanal hareketleri araştırırken kaynak bilgisayarın olay günlükleri çok yararlı olacaktır. RDP bilgisayarının internete dönük olduğu ve birisinin RDP aracılığıyla bilgisayarda yetkisiz oturum açtığı harici RDP saldırıları durumunda, saldırganın makinesine erişimimiz olmayacağı için RDP bilgisayarında yalnızca günlüklere sahip olabiliriz.
RDP üzerindeki saldırgan etkinliklerinin nasıl ortaya çıkarılabileceğini ve olay müdahalesine nasıl yardımcı olabileceğini tartıştığımız Windows Adli Bilimleri kursunda önemli RDP yapıtlarını tartıştık. Bu derste RDP kimlik doğrulama olaylarını tartışacağız.
Başarılı Denemeler
Tahmin edebileceğiniz gibi Başarılı RDP oturum açma işlemi, olay kimliği “4624” olan ancak oturum açma türü 10 olan Güvenlik günlüklerinde de depolanır. Ancak Windows, RDP günlüklerini “TerminalServices-RemoteConnectionManager” adlı bir Uygulama Günlüğünde “Uygulamalar ve Hizmet Günlükleri” altında da saklar. . Bu, Güvenlik Günlüklerinde çok fazla gereksiz gürültü olduğundan RDP günlüklerinin analiz edilmesini kolaylaştırır.
Aşağıdaki konuma gidin.
Windows’u genişlettiğimizde birçok uygulama adını görebiliriz. TerminalServices’i okuyana kadar aşağıya doğru kaydırın, genişletin ve operasyonel seçeneğini seçin.
Burada RDP olay günlüklerinde 1.873 olay görüyoruz
Başarılı RDP bağlantılarını bulmak için Olay Kimliği 1149 kullanılabilir. En son Olay Kimliği 1149 olayını görelim.
Bağlantının başlatıldığı Hesap alanını ve IP Adresini görebiliriz. Diyelim ki B Bilgisayarını araştırıyoruz ve bu olay günlüklerini buluyoruz. Saldırganın yanal olarak B Bilgisayarına geçtiği, güvenliği ihlal edilmiş başka makineler de bulabiliriz. Bizim durumumuzda, A Bilgisayarı olan IP ADRESİ 192.168.18.8’den RDP bağlantısı başlatıldı. Daha önce A Bilgisayarının da güvenliğinin ihlal edildiğini bilmiyorduk ama Olay zaman dilimi sırasındaki RDP olaylarından dolayı bunun böyle olduğunu kesinlikle varsayıyoruz. Bu senaryo aşağıdaki diyagramlarda gösterilmektedir:
RDP’nin Başlatıldığı Kaynak Bilgisayardan Yanal Hareketin Tespiti
Önceki paragraftaki senaryoyu genişleterek, saldırganın daha da yanlara taşındığı bilgisayarlar hakkında da bilgi bulabiliriz. Varsayımsal senaryomuzda B Bilgisayarını analiz ediyoruz. Saldırgan yan taraftan başka bir Bilgisayar olan C Bilgisayarı’na geçti. C Bilgisayarının da ele geçirildiğini bilmiyorduk, ancak aşağıda tartışacağımız olay günlüklerini bulmak, C Bilgisayarının da RDP bağlantısı nedeniyle ele geçirildiğini bilmemizi sağlayacaktır. bilinen olay zaman diliminde ve ardından Bilgisayar C’yi de analiz ederdik. Bu, ağ çapındaki bulaşmayı durdurmamıza ve olayın derecesini/kapsamını belirlememize yardımcı olabilir.
Bu bölümde tartışılan senaryo aynı zamanda aşağıdaki diyagramlarda da gösterilmektedir:
RDP bağlantısının başlatıldığı kaynak bilgisayarda bulunan olay günlüklerini tartışalım.
Bu olaylar, “TerminalServices-ClientActiveXcore” uygulaması ve ardından “Microsoft-Windows-TerminalServices-RDPClient/Operational” uygulaması altında “Uygulamalar ve Hizmetler günlükleri” altındadır. Olay Kimliği 1102 bize RDP çalıştıran sunucunun hedef IP Adresini saklayan olayları verecektir. Bu olayları filtreleyip görüntüleyelim.
Bir olayı görüntüleyelim.
Bu bize nereye bakacağımızı bilmemize yardımcı olabilecek IP adresini verir ancak bunun başarılı olup olmadığını bize söylemez. Bu olayla ilgili daha fazla bilgiyi, olay kimliği 4648 olan güvenlik günlüğünde ve daha önce tartışılan olayın zaman çerçevesine göre filtrelemede bulabiliriz. Burada uzak bilgisayarda ve hedef sunucu etki alanında oturum açmak için kullandığımız hedef hesap adını görebiliriz. Yukarıdaki önceki etkinlikte gördüğümüz IP 3.142.35.163 ile bulut üzerindeki bir Letsdefend makinesine uzaktan bağlandığımızı görebilirsiniz.
Bu, yanal hareketlerin araştırılmasında faydalıdır. Örneğin, olay zaman dilimi içinde güvenliği ihlal edilmiş bir makinede bu günlüklerde bir IP adresi bulursak, bu IP adresine sahip bilgisayarı araştırmamız gerekir çünkü saldırgan, RDP aracılığıyla o bilgisayara yanal olarak geçmeyi başarmış olabilir.
Başarısızlıkla sonuçlanmış denemeler
Şimdi başarısız RDP bağlantı girişimlerini tartışalım. “TerminalServices-RemoteConnectionManager” olaylarında başarısız kimlik doğrulama için bir Olay Kimliği yoktur. Olay Kimliği 261 bize RDP bağlantı noktasının bir TCP bağlantısı aldığını bildirir.
Kısa bir süre içinde 261 Olay Kimliği olaylarından sonra herhangi bir başarılı RDP kimlik doğrulama olayının olup olmadığını gözlemleyerek başarısız bir kimlik doğrulama girişiminin sonucunu çıkarabiliriz. Birisi RDP’ye bağlanmaya çalıştığında bilgisayar bir 261 Olay Kimliği olayı alır ve kimlik doğrulaması başarıyla yapılırsa daha önce tartışılan olay kimliği 1149’u görürüz. Ancak başarılı bir kimlik doğrulama olayı yoksa kimlik doğrulamanın başarısız olduğunu varsayabiliriz. TCP bağlantısı almak her zaman kullanıcının kimlik doğrulamaya çalıştığı anlamına gelmediğinden bu metodoloji her zaman %100 doğru değildir. Örneğin, birisi RDP bağlantı noktasında bağlantı noktası taraması yapıyorsa, olay kimliği 261 olan bir olay kaydedilecektir ancak kimlik doğrulama girişimi yapılmamıştır.
Başarısız RDP oturum açma işlemlerini, olay kimliği 4625 olan güvenlik günlüklerinden de görüntüleyebiliriz. Güvenlik günlüklerinde çok fazla olay olduğu ve çok gürültülü olduğu için ilk önce önceki olayları tartıştık. Bu şekilde, Remote Connection Manager günlüklerinden önce olay kimliği 261’i bulabilir ve ardından olay kimliği 261’e sahip olayların zaman dilimi boyunca Olay Kimliği 4625’e sahip Güvenlik günlüklerini görüntüleyebiliriz.
Burada kullanıcının kimlik doğrulamasını yaptığı kullanıcı adını, bağlantıyı başlatan kaynak makinenin IP adresini görebiliriz.
Bu tür saldırılardan kaçınmak için kurumsal ortamlarda, belirli sayıda başarısız denemeden sonra kullanıcı hesabının kilitlendiği ve bir süre bağlanmasına izin verilmediği bir hesap kilitleme politikasının ayarlanması önerilir. Bu derste farklı türdeki kimlik doğrulama olaylarını ve bir saldırganın ilerlemesinin nasıl tespit edilip ortaya çıkarılacağını tartıştık. Daha sonra saldırganlar tarafından kurulan kalıcılık etkinliklerinin nasıl tespit edileceğini tartışacağız.
Windows Zamanlanmış Görevler Olay Günlükleri
Görev Zamanlayıcı, Windows’ta bilgisayarınızda otomatik görevleri zamanlamanıza olanak tanıyan bir yardımcı programdır. Bu görevler, bir programı başlatmak veya bir komut dosyasını çalıştırmak gibi basit eylemler veya verileri yedeklemek veya dosyaları senkronize etmek gibi daha karmaşık işlemler olabilir. Zamanlanmış görevler, belirli bir zamanda, yinelenen bir zamanlamaya göre veya belirli olaylara yanıt olarak çalışacak şekilde yapılandırılabilir. Bilgisayarınızdaki veya uzaktaki bir bilgisayardaki görevleri zamanlamak için Görev Zamanlayıcı’yı kullanabilir ve çok çeşitli görevleri ve işlemleri otomatikleştirmek için kullanabilirsiniz.
Saldırganların bir sisteme erişim sağlamak veya kötü amaçlı eylemler gerçekleştirmek için zamanlanmış görevleri kötüye kullanmalarının birkaç yolu vardır. Örneğin:
1. Saldırgan, kurbanın bilgisayarında kötü amaçlı bir program veya komut dosyası çalıştıran yeni bir zamanlanmış görev oluşturabilir. Bu, saldırganın kurbanın makinesinde görev zamanlayıcının ayrıcalıklarıyla rastgele kod çalıştırmasına olanak tanıyabilir. Bu, saldırganın kurbanın makinesinde tutunmasına ve potansiyel olarak tespitten kaçmasına olanak tanıyabilir.
2. Saldırgan, kurbanın makinesindeki mevcut zamanlanmış görevi farklı bir program veya komut dosyası çalıştıracak şekilde değiştirebilir. Bu, saldırganın görevin davranışını değiştirmesine ve potansiyel olarak kötü amaçlı kod çalıştırmasına olanak tanıyabilir.
3. Saldırgan, kötü amaçlı yazılımın kurbanın makinesinde sürekli olarak çalıştığından emin olmak için zamanlanmış bir görevi kullanabilir. Bu, saldırganın kurbanın makinesinde tutunmasına ve potansiyel olarak tespitten kaçmasına olanak tanıyabilir.
4. Saldırgan, yükseltilmiş ayrıcalıklarla çalışan zamanlanmış bir görevi oluşturabilir veya değiştirebilir; bu, potansiyel olarak saldırganın kaynaklara erişmesine veya normalde kısıtlanacak eylemleri gerçekleştirmesine olanak tanıyabilir.
Olay Günlükleri, saldırganlar tarafından silinmiş olsa bile geçmiş zamanlanmış görevleri görüntülemek ve analiz etmek için mükemmel bir kaynaktır. Saldırganlar, artık ihtiyaç duymadıklarında zamanlanmış görevleri siler ancak görev oluşturma etkinlikleri hâlâ devam eder. Bu, artık mevcut olmayan zamanlanmış bir görevin ne tür bir aktivite yaptığını görmemize olanak tanır ve tespit edilemeyen izinsiz girişleri bulmamıza yardımcı olabilir.
Not: Zamanlanmış görevlerle ilgili olaylar varsayılan olarak güvenlik günlüklerine kaydedilmez. Bunların GPO’dan etkinleştirilmesi gerekir ve maksimum görünürlük için etkinleştirilmesi önemle tavsiye edilir.
Zamanlanmış Görev Oluşturuldu
Öncelikle bir görev oluşturulduğunda meydana gelen olayları tartışalım. Günlük kaydı etkinleştirilirse güvenlik günlüklerinde, görev zamanlayıcı uygulaması veya komut satırı aracılığıyla bir görev oluşturulduğunda olay kimliği 4698 olan bir olay kaydedilir. Bize potansiyel olarak kötü niyetli bir şeyi ima edebilecek görevin adı, görevin tetiklenme zamanı (görevin yürütülmesine neden olacak saat, tarih veya olay) ve program adı veya komutların yanı sıra argümanlar da kaydedilir. görev içeriğinin kendisi. Örneğin, bir saldırgan, kendisi tarafından yerleştirilen kötü amaçlı bir komut dosyasının her gün saat 21.00’de yürütüleceği bir görevi zamanlayabilir, görevin komutları “PowerShell -File C:\Users\username\documents\maliciousscript.ps1 ” olacaktır. .
Başka bir örneğe bakalım ve olayları analiz edelim. Olayları Olay Kimliği 4698’e ve güvenlik günlüklerinde biliniyorsa olayın zamanına göre filtreleyin. Burada yalnızca Etkinlik Kimliğine göre filtreleme yapıyoruz.
Görev Yazarına (Görevi oluşturan kullanıcı), görevin planlanan zamanına, varsa görevin açıklamasına ve yürütülecek görevin komutuna dikkat etmemiz gerekir. Bazı otomatik görevler işletim sistemi tarafından oluşturulur/değiştirilir ve bu tür görevlerin yazarı genellikle NT AUTHORITY/SYSTEM’dir. Saldırganın yönetici erişimi varsa, NT AUTHORITY/SYSTEM ayrıcalıklarıyla da görevler oluşturabilir, dolayısıyla bu noktalardan birkaçını akılda tutmak önemlidir.
En son olayı keşfedelim.
Burada görev adının “Windows Güncelleme Görevi” olduğunu ve şüpheli olan CyberJunkie kullanıcısı tarafından planlandığını görüyoruz. Saldırganlar bu tür ifadeleri ortama uyum sağlamak ve örneğin finans departmanındaki çalışanlar gibi teknolojiye meraklı olmayan kullanıcıları kandırmak için kullanıyor. Daha sonra görevin kritik olduğunu ve dosyayı silmediğini belirten bir açıklama görüyoruz, yine bu tür ifadeler kullanıcıları uzaklaştırmak için kullanılıyor. Aşağıda görevin yürütülmesinin planlandığı saati görüyoruz: 15:00:00 veya 15:00. Aşağıda haftaya göre zamanlandığını ve haftanın gününün Cuma olduğunu ve hafta aralığının 1 olduğunu görüyoruz. Bu, bu görevin her hafta Cuma günü saat 15:00’te yürütülecek şekilde planlandığı anlamına gelir. Saldırganlar bu tür taktikleri ısrarcı kalmak ve Komuta ve Kontrol (C&C) sunucusu iletişimlerinin her zaman açık olduğundan emin olmak için kullanır.
Şimdi bu etkinlikte bizim için önemli olan asıl bilgiye bakalım.
Komut etiketlerini görürsek, planlanan zamanda yürütülecek komutu görebiliriz. İkili ad “Windows Update”tir ve kullanıcının belgeler klasörü altında saklanır. Burası böyle bir dosya için çok tuhaf bir yer olduğundan, bunun bir saldırgan tarafından yerleştirildiğini rahatlıkla söyleyebiliriz. Görevin yasal mı yoksa kötü amaçlı mı olduğunu dosya yollarından, komut satırı argümanlarından belirleyebiliriz. Ayrıca olayın zaman çerçevesini biliyorsak ve bu tür olayların o zaman çerçevesinde gerçekleştiğini biliyorsak, bu daha fazla bağlam ekler ve izinsiz girişin bir parçası olma olasılığını artırır.
Daha önce de belirttiğimiz gibi olayların Güvenlik Günlükleri altına kaydedilebilmesi için Windows’ta Grup ilkesi nesnesi aracılığıyla kurulum yapmamız gerekiyor. Maksimum görünürlüğe ihtiyaç duyulan kurumsal ortamlarda ve aktif dizin ortamlarında etkinleştirilmesi önemle tavsiye edilir. Herhangi bir nedenle bunlar analiz ettiğiniz bir uç noktada etkinleştirilmemişse, görev zamanlayıcıyla ilgili olayları, operasyonel günlüklerde Microsoft->Windows ->Görev Zamanlayıcı altındaki Uygulama ve hizmet günlüklerinde de bulabiliriz.
Burada Olay Kimliği 106’ya göre filtreleyebilir ve Göreve kayıtlı olayı görebiliriz. Ne yazık ki bu olay günlükleri bize güvenlik günlükleri gibi ayrıntılı bilgi sağlamaz, burada yalnızca görev oluşturulduğunda görev adını kaydeder.
Ancak görev, planlanan zamanda yürütüldüğünde, Olay Kimliği 201’e sahip, zamanlanan görevin yürütülmesini tamamladığını ve bu olayın yalnızca görevin komutlarını kaydettiğini bize bildiren başka bir olay daha vardır.
Gösterim amacıyla bu olayı oluşturmak için görevi şimdi görev zamanlayıcıda manuel olarak yürütelim.
Bir defans oyuncusu olarak bu olaylar bizim için faydalıdır çünkü asıl görev saldırgan tarafından silinse ve artık sistemde mevcut olmasa bile, yine de görevin ayrıntılarını bulabiliriz. Bu, geçmişteki kötü amaçlı etkinlikleri ve ilgili tehdit aktörlerinin TTP’lerini ortaya çıkarabilir.
Zamanlanmış Görev Güncellendi
Daha önce tartışıldığı gibi, saldırganlar daha fazla gürültü yaratmamak için önceden oluşturulmuş görevleri de değiştirirler. Diyelim ki bir sistem yöneticisi bir bilgisayarın normalde 3 zamanlanmış görevi olduğunu biliyor. Bir saldırgan yeni bir görev oluşturursa sistem yöneticisi yeni bir görevin olduğunu hemen anlar ve onu inceleyebilir. Dolayısıyla bu tür senaryolardan kaçınmak için saldırganlar, çok fazla önemi olmayan ve o sistemin günlük işleyişini aksatmayacak zamanlanmış bir görevi değiştirme şansına sahip olurlarsa, yukarıda belirtilen nedenlerden dolayı yeni bir görev oluşturmak yerine bunu yapacaklardır.
Güncellenen zamanlanmış görevlerle ilgili olaylar, Olay Kimliği 4702 ile Güvenlik günlükleri altında kaydedilir. Bu olaylar aynı zamanda zamanlanmış görev oluşturulanlarla aynı tür bilgileri de depolar. Görev oluşturma kısmında ele aldığımız görevi güncelleyelim ve ardından sonuçları burada analiz edelim.
Şimdi olay ID 4702 için olay günlüklerini filtreleyelim ve en son olayı görüntüleyelim.
O göreve ilişkin görev oluşturma olayı ile görev değiştirme olayını karşılaştırarak nelerin değiştirildiğini görebiliriz. Burada planlanan tarih ve saat dışında her şeyin aynı olduğunu görebiliriz. Her hafta Cuma günü saat 15:00’te yürütmek yerine, artık görevin her gün saat 12:00’de yürütülmesi planlanıyor.
Zamanlanmış görev güncelleme/değiştirme ile ilgili olayları, operasyonel günlüklerdeki Microsoft->Windows->Görev Zamanlayıcı altındaki Uygulama ve hizmet günlüklerinde de bulabiliriz. Burada Olay Kimliği 140’a göre filtreleyebilir ve Görev güncelleme olayını görebiliriz. Ne yazık ki bu olay günlükleri bize güvenlik günlükleri gibi ayrıntılı bilgi sağlamaz, burada yalnızca olayın kaydedildiği görev adını ve saatini kaydeder.
Zamanlanmış Görev Silme
Saldırganlar gereksiz zamanlanmış görevleri siler. Örneğin, saldırganlar daha yüksek ayrıcalıklara ve kurulum kalıcılığına sahip farklı bir ağa yatay olarak geçti. Artık daha düşük ayrıcalıklara sahip zamanlanmış göreve ihtiyaçları yok. Saldırganlar, SOC ekiplerini uyarmak veya herhangi bir uyarıyı tetiklemek istemezler; bu nedenle, artık ihtiyaç duyulmadığında karışıklıktan sonra temizlik yapma eğiliminde olurlar.
Zamanlanmış görev silme olayları, Güvenlik günlüklerine Olay Kimliği 4699 ile kaydedilir. Şu ana kadar tartıştığımız zamanlanmış görevi silelim ve ardından bu olay kimliği ile olayları filtreleyelim.
Bu etkinlikte yalnızca görev adı görünür.
Zamanlanmış görev silmeyle ilgili olayları, operasyonel günlüklerdeki Microsoft->Windows->Görev Zamanlayıcı altındaki Uygulama ve hizmet günlüklerinde de bulabiliriz. Burada Event ID 141’e göre filtreleyebilir ve Görev silme olayını görebiliriz. Ne yazık ki bu olay günlükleri bize güvenlik günlükleri gibi ayrıntılı bilgi sağlamaz, burada yalnızca olayın kaydedildiği görev adını ve saatini kaydeder.
Silme olaylarında sadece görev adlarını görebiliyoruz. Bu olaylar yukarıda tartışılan olaylara göre daha az faydalıdır ancak yine de güvenlik analistlerinin saldırganların faaliyetlerini izlemesi açısından faydalıdır.
Bu derste zamanlanmış görevlerle ilgili aşağıdaki Etkinlik Kimliklerini tartıştık.
Güvenlik günlüklerinde
- Olay Kimliği 4698: Görev oluşturuldu. Görev adını, zamanlanan zamanı ve yürütülecek komutu gösterir.
- Olay Kimliği 4699: Görev silindi. Silindiğinde görev adını ve saatini gösterir.
- Olay Kimliği 4702: Görev güncellendi. Görev adını, zamanlanan zamanı ve yürütülecek komutu gösterir.
“Uygulama ve Hizmetler” altındaki TaskScheduler günlükleri için
- Olay Kimliği 106: Oluşturulan/kaydedilen görev, görev adını gösterir.
- Olay Kimliği 140: Görev güncellendi.
- Olay Kimliği 141: Görev silindi.
- Olay Kimliği 201: Görev eylemi tamamlandı ve komut yürütüldü.
Windows Hizmetleri Olay Günlükleri
Windows hizmetleri, Windows bilgisayarlarda çalışan arka plan işlemleridir. Hiçbir kullanıcı oturum açmamış olsa bile, bilgisayar önyüklendiğinde ve arka planda çalışacak şekilde otomatik olarak başlayacak şekilde yapılandırılabilirler. Hizmetler, gelen ağ bağlantılarını dinleyen bir programın çalıştırılması, bakım görevlerinin gerçekleştirilmesi gibi çeşitli görevleri gerçekleştirmek için kullanılabilir. önceden tanımlanmış aralıklarla veya diğer programlara belirli bir hizmet sağlayan bir programın çalıştırılması. Yaygın hizmetlere örnek olarak yazdırma işlerini yöneten Yazdırma Biriktiricisi ve belirli bir zamanda gerçekleştirilecek görevleri zamanlayan Görev Zamanlayıcı verilebilir.
İki tür hizmet vardır:
1- Sistem hizmetleri, işletim sisteminin bir parçası olarak kurulur ve sistem, aygıt sürücüleri ve diğer programlar tarafından kullanılmak üzere tasarlanmıştır.
2- Uygulama hizmetleri bir uygulama ile birlikte yüklenir ve o uygulama tarafından kullanılması amaçlanır.
Saldırganların bir sisteme erişim sağlamak veya sistemin güvenliğini aşmak için Windows hizmetlerini kötüye kullanmalarının çeşitli yolları vardır. Bazı yaygın taktikler şunları içerir:
– Kötü amaçlı kod yürütmek veya hizmeti kötü amaçlı bir web sitesine yönlendirmek için meşru bir hizmetin yapılandırmasını değiştirmek.
– Kötü amaçlı kod çalıştıran veya bir komut ve kontrol (C&C) sunucusuna bağlanan yeni bir hizmet oluşturmak.
– Sistemin normal işleyişini bozacak şekilde kritik hizmetleri devre dışı bırakmak veya durdurmak.
– Yükseltilmiş ayrıcalıklar kazanmak için hizmetin yürütülebilir dosyasındaki veya bağımlılıklarındaki güvenlik açıklarından yararlanmak.
Daha önce kısaca tartışıldığı gibi, saldırganlar kalıcılığı korumak için sisteme hizmetler yükler. Bir Windows makinesinde yüzlerce çalışan hizmet vardır, bu da burayı kötü amaçlı bir hizmetin içine karışmak ve kurmak için ideal bir yer haline getirir. Savunmalara uyum sağlamak ve savunmalardan kaçınmak için hizmeti yasal görünen bir hizmet olarak adlandırabilirler. Tehdit aktörlerinin Komuta ve Kontrol (C&C) iletişimi için kötü amaçlı hizmetler kurması veya kabukları tersine çevirmesi yaygın bir durumdur. Sistem her başlatıldığında veya bir kullanıcı oturum açtığında, hizmet nasıl yapılandırıldığına bağlı olarak yürütülür. Saldırganlar uzaktan erişimlerini koruyabilir ve ayrıca ana C2 iletişimlerinin kesilmesi veya kesintiye uğraması durumunda yedek Komuta ve Kontrol (C2) kanalı olarak da hareket edebilir. Kurulan/oluşturulan hizmeti tartışalım.
Hizmet Oluşturma/Kurulum
Zamanlanmış bir görev olarak belirlediğimiz ikili dosyayı bir hizmet olarak kuracağız. İkili dosyaya “Windows Update” adı verildi ve bir ölçüm yorumlayıcı ters kabuğuydu. Bir hizmet oluşturalım.
Hizmet adı WindowsUpdateCritical’dır ve kolay adı da kolaylık olması açısından LetsDefend Olay Günlüğü Demosu’dur.
Hizmet Oluşturma olayı, 7045 olay kimliğiyle Sistem günlüklerinde saklanır. Bu süre zarfında olası şüpheli etkinlikleri bulmak için sistem günlüğünü 7045 olay kimliğine ve olay zaman çerçevesine göre filtreleyebiliriz. Olay Görüntüleyicide görüntüleyelim.
Hizmetin dosya yolunu, hizmetin kurulduğu zamanı, hizmet adını ve hizmetin başlangıç türünü görebiliriz. Otomatik başlatma, bilgisayar her başlatıldığında hizmetin yürütüleceği anlamına gelir. Hizmet türü, hizmetin çalışması için kullanıcı tarafından mı yoksa işletim sistemi tarafından mı kurulduğunu belirtir. Kullanıcı modu hizmeti, saldırganların bu hizmetleri kendileri kurması nedeniyle güvenlik analistlerinin ilgisini çekmektedir ve yasal yazılımların saldırganlar adına kötü amaçlı hizmet yüklemesine neden olmak çok nadirdir.
Örneğin, burada çekirdeğin kendisi tarafından yönetilen bir hizmet var.
İyi huylu ve şüpheli görünen ikili dosyaları bulmak için hizmet ikili yollarını aramak önemlidir. Bizim durumumuzda, bir Kullanıcının belgeler klasöründe bulunan bir Windows Update ikili programı kesinlikle bir tehlike işaretidir. Bir güvenlik analisti olarak, hizmetlerin olay günlükleri aracılığıyla şüpheli ikili dosyayı tespit edersek, henüz silinmemişse bu şüpheli dosyanın bir kopyasını konumdan almalı ve analiz etmeliyiz. Sonuçları görmek için bu ikili dosyayı VirusTotal’a yükleyelim.
Burada bunun kötü amaçlı bir ikili dosya olduğu sonucunu görebiliriz. Gerçek senaryolarda, bir saldırgan EDR’den kaçmak için tamamen gizlenmiş bir kötü amaçlı yazılım kullanıyor olabilir ve bu durumda AntiVirus ve VirusTotal’ın pek bir faydası olmaz. Daha sonra kötü amaçlı yazılımın davranışını ve rakiplerin yeteneklerini anlamak için statik ve dinamik analiz yapılmalıdır. Bir alıştırma yaptığımız ve bu bir gösteri olduğu için şimdilik antivirüsü devre dışı bıraktık.
Hesap Yönetimi Etkinlikleri
Saldırganlar çeşitli nedenlerle Windows sistemine yeni kullanıcılar ekleyebilir. Bunun bir nedeni sistemde kalıcılık kazanmak olabilir. Bu, saldırganın orijinal erişim yöntemi keşfedilip engellense bile sisteme erişmeye devam edebileceğinden emin olmak istediği anlamına gelir. Yeni bir kullanıcı eklemek, saldırganın sisteme farklı bir hesap kullanarak giriş yapmasına olanak tanıyabilir, bu da savunmacıların saldırıyı tespit etmesini ve durdurmasını zorlaştırabilir.
Saldırganın sisteme yeni bir kullanıcı eklemesinin bir diğer nedeni de sistem üzerinde ek ayrıcalıklar kazanmaktır. Varsayılan olarak, yeni oluşturulan kullanıcılar nispeten sınırlı ayrıcalıklara sahiptir, ancak bir saldırgan, kendisini belirli grupların üyesi olarak ekleyerek veya belirli sistem kaynaklarındaki izinleri değiştirerek ayrıcalıklarını yükseltebilir.
Saldırganlar ayrıca izlerini gizlemenin bir yolu olarak sisteme yeni bir kullanıcı ekleyebilir. Saldırgan, kötü amaçlı faaliyetleri için ayrı bir hesap kullanarak, adli tıp araştırmacılarının hangi eylemlerin saldırgan tarafından, hangilerinin meşru kullanıcılar tarafından gerçekleştirildiğini belirlemesini zorlaştırabilir.
Bu derste kullanıcı hesabı oluşturmayı ve olay günlüklerini analiz ederek bir gruba hesap eklemeyi tartışacağız. Bu iki aktivite saldırganların ısrarcı bir araç olarak kullandıkları ortak bir taktiktir. Bunlar ayrıca önceki 2 derste tartıştığımız 2 kalıcılık tekniğine göre daha gizli ve daha az gürültülüdür çünkü bunların neden olduğu sürekli bir ağ etkinliği yoktur.
Not: Kullanıcı hesabı değişiklikleri varsayılan olarak günlüğe kaydedilmez ve Grup İlkesi Nesnesi (GPO) aracılığıyla etkinleştirilmesi gerekir.
Yeni Kullanıcı Hesabı Oluşturuldu
Yeni bir kullanıcı oluşturalım.
Yeni bir kullanıcı hesabı oluşturulduğunda Güvenlik günlüklerine Olay Kimliği 4720 olan bir olay kaydedilir. Saldırganların oluşturduğu olası hesapları bulmak için Olay Kimliği 4720 ve bilinen olay zaman çerçevesinin tarih saatini kullanarak filtreleme yapabiliriz. Etkinlik görüntüleyicide görüntüleyelim.
“Bir kullanıcı hesabı oluşturuldu” mesajını görebiliriz. Konu hesap adı, yeni kullanıcı hesabını oluşturan kullanıcı hesabının adıdır. Yeni hesap “Hesap adı” oluşturulan kullanıcı hesabıdır. Örneğimizde CyberJunkie kullanıcısı “letsdefenddemo” adında yeni bir hesap oluşturdu. İlk olarak “CyberJunkie” kullanıcısının hesabının ele geçirildiğini ve kalıcılık için saldırgan tarafından “letsdefenddemo” hesabının oluşturulduğunu söyleyebiliriz. Artık saldırgan kendi şifresi ile kullanıcıyı oluşturduğu için bu bilgisayara istediği zaman giriş yapabilir. Bir Güvenlik Analisti olarak uç noktaların her zaman gerekli sayıda kullanıcıya sahip olduğundan emin olmalıyız ve olağandışı her şeyin araştırılması gerekir. Saldırganlar genellikle “Sistem Yöneticisi”, “Sistem Yöneticisi”, “yardım masası”, “destek masası” gibi adlarla veya “Hizmet hesapları” vb. adlarla hesaplar oluştururlar. Bu şekilde ortama karışıp gizlenebilirler.
Bir Gruba Kullanıcı Ekleme
Saldırganlar yeni oluşturdukları kullanıcı hesaplarını “Yöneticiler” grubu gibi ayrıcalıkları yüksek bir gruba ekleyebilirler. Bir kullanıcı hesabı oluşturulduğunda varsayılan olarak sınırlı ayrıcalıklara sahiptir. Saldırganlar hedeflerine daha hızlı ulaşabilmek ve daha fazla hasar verebilmek için daha yüksek ayrıcalıklar isterler. Bu nedenle güvenlik analistlerinin, tehdit aktörleri tarafından eklenen daha yüksek ayrıcalıklara sahip şüpheli hesapları nasıl yakalayacaklarını bilmesi önemlidir.
Daha önce oluşturduğumuz “letsdefenddemo” kullanıcı hesabını yüksek ayrıcalıklı “Yöneticiler” grubuna ekleyelim.
Bu olay Güvenlik günlüğüne olay kimliği 4732 ile kaydedilecektir. Herhangi bir şüpheli etkinliği bulmak için bu olay kimliğini ve bilinen olay zaman diliminin tarih saatini filtreleyebiliriz. Bu olayı filtreleyip analiz edelim.
Öncelikle bir üyenin yerel bir gruba eklendiğini belirten etkinlik bilgisini göreceğiz. Konu Hesap Adı, bir yerel gruba kullanıcı hesabı ekleyen kullanıcı hesabıdır. Üye bölümünde Güvenlik Kimliği, yerel gruba eklenen Etki Alanı/Bilgisayar Adının yanında kullanıcı hesabını gösterir. Grup Bölümünde Grup Adı, hesabın eklendiği yerel grubu gösterir.
Örneğin, öğleden sonra 2:00 civarında bir olay meydana geldiyse ve bu derste ele aldığımız olayları ele geçirilen makinede bulduysa, saldırganın yeni bir hesap oluşturmuş ve kalıcı olması için bu hesabı Yönetici grubuna eklemiş olması kuvvetle muhtemeldir. Daha sonra hem yeni hesabı oluşturan kullanıcı hesabının aktivitelerini hem de yeni kullanıcı hesabını takip ederdik. Hesap yönetiminin kötüye kullanılması yalnızca kalıcılık amaçlı değildir, bu faaliyetler aynı zamanda Windows sistemlerindeki güvenlik açıklarını kötüye kullanan ayrıcalık yükseltme amaçlı bazı istismarlar tarafından da gerçekleştirilir. Bunlar arasında Yazdırma biriktiricisi açıkları, Sulu patates, Sıcak patates vb. yer alır.
Bu derste 2 önemli Etkinlik Kimliğini tartıştık:
Güvenlik Günlüklerinde
- Olay Kimliği 4720: Yeni Kullanıcı Hesabı Oluşturuldu
- Olay Kimliği 4732: Yerel gruba kullanıcı hesabı eklendi
Olay Günlüğünün Değiştirilmesi
Saldırganların olay günlüklerini silmeye çalışmasının birkaç nedeni vardır:
1. İzlerini gizlemek için: Bir saldırgan bir sistemi tehlikeye atabilirse, eylemlerine dair tüm kanıtları ortadan kaldırmak için olay günlüklerini silmeye çalışabilir. Bu, yöneticilerin ne olduğunu ve sistemin nasıl tehlikeye atıldığını belirlemesini zorlaştırabilir.
2. Güvenlik izlemeyi aksatmak için: Olay günlükleri, olası saldırılar veya diğer güvenlik sorunları hakkında ipuçları sağlayabileceğinden, güvenlik izleme için önemli bir araçtır. Saldırgan, olay günlüklerini silerek yöneticilerin güvenlik tehditlerini tespit etmesini ve bunlara yanıt vermesini zorlaştırabilir.
3. Tespit edilmekten kaçınmak için: Saldırgan, eylemlerinin günlüğe kaydedildiğini biliyorsa, tespit edilmekten kaçınmak için günlükleri silmeye çalışabilir. Saldırganın günlüklerin güvenlik personeli tarafından düzenli olarak incelendiğini bilmesi durumunda bu özellikle yararlı olabilir.
Olay günlüklerini silmenin her zaman kolay olmadığını ve bir saldırganın bunu yapabilmek için sistemde üst düzey ayrıcalıklara sahip olması gerekebileceğini belirtmekte fayda var.
Kullandığınız işletim sistemine ve sisteme erişim düzeyinize bağlı olarak olay günlüklerini silmenin birkaç yolu vardır. Bunlardan birkaçı:
1. Olay Görüntüleyiciyi Kullanma: Windows sistemlerinde, olay günlüklerini silmek için Olay Görüntüleyiciyi kullanabilirsiniz. Bunu yapmak için Olay Görüntüleyiciyi açın ve silmek istediğiniz günlüğe gidin. Günlüğe sağ tıklayın ve “Günlüğü Temizle”yi seçin. Bunu yapmak için yönetici ayrıcalıklarına sahip olmanız gerektiğini unutmayın.
2. Komut satırını kullanma: Windows sistemlerinde olay günlüklerini silmek için komut satırını da kullanabilirsiniz. Kullanmanız gereken komut şudur: “wevtutil.exe cl logname”. Örneğin, Güvenlik günlüğünü silmek için şu komutu kullanırsınız: “wevtutil.exe cl Security”.
Saldırganın olay günlüklerini nasıl sildiği önemli değildir; günlükler temizlendiğinde olay günlüklerinde aynı olay oluşturulur.
Güvenlik Günlüğü Temizlendi
Denetim günlükleri temizlendiğinde öncelikle Güvenlik günlüklerindeki olayları inceleyelim. Şu ana kadar güvenlik günlüklerinin analistler için ne kadar önemli bir bilgi kaynağı olduğunu ve izinsiz giriş tespitinde bize nasıl yardımcı olduğunu tartıştık ve gösterdik. Bu da onu saldırganlar için yüksek öncelikli bir hedef haline getiriyor. Bir saldırganın izlerini gizlemesi durumunda güvenlik kayıtları ilk kayıtlardan biri olacaktır. Olay Kimliği 1102’ye sahip olay, Güvenlik günlüğünde her temizlendiğinde ve önceki olaylar silindiğinde oluşturulur. Silinen Güvenlik Günlüğü olaylarıyla ilgili olaylar yalnızca Güvenlik Günlüğü’nde saklanır. Bunu keşfedelim. Önce etkinlikleri sildik.
Artık elimizde 1 olayın bizi ilgilendirdiği 2 olay kaldı.
Olayın kaydedildiği zamanı, denetim günlüğünün temizlendiğini belirten mesajı ve olay günlüklerini temizleyen kullanıcıyı görebiliriz. Olay günlüklerini silen kullanıcı etkinliğini, güvenliği ihlal edilmiş bir hesap veya saldırgan tarafından yeni oluşturulmuş bir hesap olabileceğinden izlemek isteriz.
Herhangi Bir Denetim Günlüğü Temizlendi/Silindi
Birçok logu “Uygulama ve Hizmet Logları” başlığı altında ele aldık. Güvenlik Günlüğü dışında silinen herhangi bir olay günlüğü, olay kimliği 104 ile Sistem Günlüğüne kaydedilir. Güvenlik Günlüğü’ne yalnızca Güvenlik Günlüğü temizlenen olay kaydedilir. Şimdi bunu uygulamalı olarak görelim. “Uygulama ve Hizmetler Günlüğü”nden Sistem günlüğünü, ardından powershell günlüklerini ve ardından Microsoft Office uyarı günlüğünü temizledik.
İlk olarak olay kimliği 104 ile Sistem Günlüğünü filtreleyin.
3 etkinlik görüyoruz. Sistem günlüğümüzde ilk olarak temizlediğimiz günlüğün en eskisini inceleyelim.
Sistem Günlüğünün temizlendiğini belirten bir mesaj görebiliriz.
Şimdi Powershell Günlüklerine bakın.
Olay Günlüğü Devre Dışı
Saldırganlar, ayak izlerini azaltmak için olay günlüğü hizmetini tamamen devre dışı bırakabilirler. Varsayılan olarak Olay Günlüğü hizmeti sistemin başlatılmasıyla başlar. Bu hizmeti durdurmak için daha yüksek ayrıcalıklara ihtiyaç vardır. Olay günlüklerini devre dışı bırakalım.
Artık sistem üzerinde gerçekleştirilen hiçbir aktivite olay kayıtlarına kaydedilmeyecektir. Ancak olay günlüğü devre dışı bırakılmadan hemen önce Güvenlik Günlüklerinde Olay Kimliği 1100 olan bir olay oluşturulur. Bu SOC analistleri için iyi bir haber çünkü bu olay SIEM tarafından alınabiliyor ve saldırgan hedefine ulaşmadan önce bir uyarı oluşturabiliyor. Saldırganın geri kalan faaliyetleri günlüğe kaydedilmese de, olay günlüğünün devre dışı bırakılması başlı başına oldukça şüphelidir ve sıkı bir şekilde izlenmelidir.
Hizmeti tekrar başlatalım ve olay kimliği 1100’e göre filtreleme ile olayı analiz edelim.
Bu olayın bize sadece bir açıklama verdiğini, başka bir veri vermediğini görüyoruz.
Bu, günlük olarak oluşturulan yaygın bir olay değildir, dolayısıyla yüksek değerli bir olaydır. Bu olayın bilgisayar kapatıldığında oluşturulmadığını, yalnızca bilgisayar açık ve çalışır durumdayken olay günlüğü hizmeti kapatıldığında oluşturulduğunu unutmamak da önemlidir.
Şimdi aklınızda şu soru belirecek: Eğer olay kayıtları silinebilir ve/veya devre dışı bırakılabilirse şu ana kadar okuduklarımız boşa gitmiş olacak. Hayır, işte nedeni.
1- Olay günlüklerini temizlemek için yönetici ayrıcalıklarına ihtiyacınız vardır. Yani saldırgan yüksek ayrıcalıklı bir hesap değilse bu gerçekleşemez.
2- Saldırganın ayrıcalık yükseltme yoluyla yüksek ayrıcalıklara sahip olması ve olay günlüklerini silmesi durumunda, önceki tüm olay günlükleri ve izinsiz giriş sırasında kaydedilen olaylar (şu ana kadarki Saldırgan faaliyetleri), SOC ortamında açıkça bulunabilecek olan SIEM’e gönderilecektir.
3- Saldırganlar olay kayıtlarını da silmezler çünkü bu oldukça gürültülü bir aktivitedir ve kesinlikle göze çarpmaktadır. Dolayısıyla, olay günlüklerinin silinmemesi durumunda, etkinliklerinin aynı anda meydana gelen binlerce başka olayla karışma ihtimali vardır.
Tehdit aktörlerinin savunmalardan kaçmak ve izleri gizlemek için kullandığı daha gelişmiş teknikler vardır ve bunlar bu kursun kapsamı dışındadır. Bu ileri teknikleri gelecekteki bir derste tartışacağız.
Bu dersimizde saldırganların izlerini gizlemek amacıyla gerçekleştirdiği olası şüpheli etkinlikleri tespit etmemizi sağlayan bazı olay kimliklerini ele aldık.
- Olay Kimliği 1102: Güvenlik günlüğünde güvenlik günlüğü temizlendi
- Olay Kimliği 104: Sistem günlüğündeki tüm günlükler temizlendi
- Olay Kimliği 1100: Güvenlik günlüğünde Olay Günlüğünü Devre Dışı Bırakma
Windows Güvenlik Duvarı Olay Günlükleri
Windows Güvenlik Duvarı, Windows’a özgüdür ve Internet’e gelen ve Internet’e gelen istenmeyen bağlantıları engelleyerek bilgisayarınızın korunmasına yardımcı olur. Bunu, bilgisayarınıza gelen ve giden trafiği inceleyerek ve önceden yapılandırdığınız kurallara göre trafiğe izin vererek veya engelleyerek yapar. Belirli program veya hizmetlere yönelik trafiği engellemek veya trafiğe izin vermek için Windows Güvenlik Duvarı’nı kullanabilirsiniz veya Internet’ten gelen trafik veya yerel bir ağa giden trafik gibi trafik türüne bağlı olarak trafiği engellemek veya trafiğe izin vermek için kullanabilirsiniz. Gönderenin veya alıcının IP adresine veya etki alanı adına göre trafiği engellemek veya trafiğe izin vermek için Windows Güvenlik Duvarı’nı da kullanabilirsiniz.
Güvenlik duvarı günlükleri, dahili bağlantı noktası taraması, yanal hareket veya C2 iletişimleri gibi şüpheli ağ etkinliklerini tespit etmek için çok önemlidir. Windows Güvenlik Duvarları ayrıca bırakılan paketleri günlüğe kaydedebilir ve bu da olası izinsiz girişlere karşı ağ trafiğini analiz etmemize yardımcı olabilir. Kurumsal ortamlarda kullanılan donanım tabanlı güvenlik duvarı günlükleri, ağ trafiğini analiz etmek için Netflow vb. gibi daha güvenilir kaynaklar vardır. Ancak bu kurs olay günlükleriyle ilgilidir, dolayısıyla bu konuya ve saldırganların ağlarının uç noktalarını nasıl kurcalayabileceğine odaklanacağız. aktivite.
Saldırganlar, güvenilen bir ana bilgisayarın IP adresini taklit ederek güvenlik duvarını kandırmaya çalışabilir. Güvenlik duvarı sahte IP adresinden gelen trafiğe izin veriyorsa, saldırgan ağa erişim sağlayabilir.
Bu olayları kullanarak C2 iletişimlerini tespit etmek istediğimizi varsayalım. Windows Güvenlik Duvarı, C2 iletişimine karşı korunmaya çeşitli şekillerde yardımcı olabilir:
- Gelen C2 trafiğini engelleme: Windows Güvenlik Duvarı, bilinen C2 sunucularından veya diğer güvenilmeyen kaynaklardan gelen trafiği engelleyecek şekilde yapılandırılabilir. Bu, güvenliği ihlal edilmiş cihazın C2 sunucusuyla bağlantı kurmasını önlemeye yardımcı olabilir.
- Giden C2 trafiğini engelleme: Windows Güvenlik Duvarı, bilinen C2 sunucularına veya diğer güvenilmeyen hedeflere giden trafiği engelleyecek şekilde de yapılandırılabilir. Bu, güvenliği ihlal edilmiş cihazın hassas bilgileri veya diğer verileri C2 sunucusuna göndermesini önlemeye yardımcı olabilir.
Saldırganlar, yedek olarak bir C2 işaretçisi ile kalıcılık ayarlarken, yeni bir kural oluşturabilir veya mevcut bir kuralı, o uygulamadan herhangi bir kısıtlama olmadan gelen/giden trafiğe izin verecek şekilde değiştirebilirler gibi birçok nedenden dolayı güvenlik duvarı yapılandırmasına müdahale edebilir. Ayrıca, herhangi bir kesinti olmadan veri sızdırmak için bu tür kuralları yapılandırabilirler. Yeni bir kural eklendiğinde, mevcut bir kural değiştirildiğinde ve güvenlik duvarı devre dışı bırakıldığında oluşan olayları tartışacağız.
İstisna Listesine Güvenlik Duvarı Kuralı Eklendi
Şu ana kadar kullandığımız ikiliyi “Windows Update” istisna listesine ekleyelim.
Bununla ilgili olaylar Microsoft->Windows->Windows Güvenlik Duvarı altında “Uygulama ve Hizmet Günlükleri” altında “Güvenlik Duvarı” log dosyasında gelişmiş güvenlikle saklanacaktır.
Bu durumda ilgileneceğimiz Olay Kimliği 2004’tür. Windows işletim sisteminin, işleminin bir parçası olarak hizmet uygulamalarına kurallar eklemeye devam ettiğini, bu değişiklik yapan kullanıcıda SİSTEM olacağını unutmamak önemlidir. Saldırganlar ayrıcalıkları yükseltseler de aynı ayrıcalıklara sahip kurallar da ekleyebilirler; bu, Kullanıcı SİSTEMİ ile olayları atmamız gerektiği anlamına gelmez. Şüpheli herhangi bir şeyi tespit etmek için kurala eklenen uygulama yollarını veya bağlantı noktası numarasını görmeliyiz. Az önce bahsedildi çünkü bir analist olarak bizim için hiçbir önemi olmayan olaylar çok fazla gürültü yaratıyor. Olayları, Olay Kimliği 2004 ve varsa bilinen olay zaman çerçevesiyle filtreleyebiliriz; bu, pek çok gereksiz olayı kesmemize yardımcı olur, böylece üzerinde fazla uğraşılacak bir şey kalmaz.
Event ID 2004 ile filtreledik ve şu ana kadar 387 olay gördük.
Bunlar çok sayıda olay olduğundan son saate (Bilinen Olay zamanı) yönelik filtreler uygulayalım.
Artık yalnızca 6 etkinlik mevcut:
Biri Windows Update dosyası için yeni eklediğimiz kural ve diğeri rutinin parçası olarak Windows tarafından eklenen meşru kural olmak üzere 2 olayı analiz edelim.
Olay açıklamasını, kural adını, etkin olup olmadığını ve kuralın yönünü, yani gelen veya giden olarak ayarlandığını görebiliriz, bizim durumumuzda olduğu gibi giden, bu uygulamanın internetteki bir uygulama/hizmetle iletişim kuracağı anlamına gelir. bu, bu kuralın oluşturulduğu ikili dosyanın uygulama yolu olan bir C2 Sunucusu olabilir. Yolun dosya için doğru yol olmadığını görebiliyoruz, bunun nedeni kuralın Windows güvenlik duvarının hizmet hesabı tarafından işlenmesidir. Yolu \windows\ServiceProfiles\LocalService\ dizininden silebilirsiniz . Çoğu durumda tam yol, değişiklik yapan Kullanıcının Kullanıcı Profili olacaktır. Değişiklik yapan kullanıcı CyberJunkie olduğundan dosyanın gerçek yolu “C:\Users\CyberJunkie\Documents\Windows Update.exe” olur. Ayrıca kuralın oluşturulduğu protokolü de görebiliriz; örneğin, olay zaman diliminden sonra UDP protokolü için oluşturulan bir kural, DNS üzerinden veri sızdırma girişimi olabileceğinden şüpheli olabilir.
Şimdi farkı görmek için meşru bir olayı inceleyelim.
Burada, Düzenleme Uygulamasının ağla ilgili etkinlikleri yöneten bir Windows hizmeti ikili programı olduğunu görebiliriz. Ayrıca, değişiklik yapan kullanıcı SYSTEM’dir ve bu kurallar sistem tarafından geçici olarak belirlendiğinden ve kalıcı olmadığından bunun yapılandırıldığı bir uygulama yoktur.
MMC, PowerShell veya cmd gibi uygulama değerlerini değiştirmeye dikkat edin. Çünkü birisi güvenlik duvarının GUI’sinden bir kural eklerse, uygulamaları değiştirmek mmc olacaktır, benzer şekilde cmd veya powershell’den yapılırsa bunlar da değişen uygulamalar olacaktır. Bunlar önemlidir çünkü bunlar, kuralların insan müdahalesi veya programlanmış komut dosyaları tarafından eklendiğini gösterir. Başka herhangi bir uygulama adı genellikle bunun Windows tarafından yapıldığını gösterir.
Mevcut Kuralı Değiştirme
Saldırganlar yeni kurallar eklemek yerine mevcut kuralları değiştirebilir. Nedeni herhangi bir şey olabilir. Örneğin yeni kurallar ekleyerek sistem yöneticilerinin dikkatini çekmek istemiyorlar.
Yukarıda oluşturduğumuz kuralı değiştirelim ve birkaç şeyi değiştirelim. Değişiklikle ilgili olaylar aynı güvenlik duvarı olay günlüklerinde ve Olay Kimliği 2005 ile saklanır. Bu olay kimliği ve bilinen olay zaman çerçevesi ile filtreleme yapabiliriz. Bu etkinlik kimliğinin en son etkinliğini görüntüleyelim.
Burada kural adının değiştirildiğini ve kurala ait Protokolün değiştirildiğini görüyoruz. Daha önce herhangi bir protokoldü, şimdi sadece TCP için. Saldırganlar, yasal kuralların uygulama yolunu, C2 İmplantı veya ters kabuk gibi, kötü amaçlı dosyalarının yolu ile değiştirebilir.
Kural kimliği değeri, hangi kuralın değiştirildiğini bilmemize yardımcı olabilir. Saldırgan bir kuralın adını orijinalinden tamamen değiştirebilir ve bu durumda orijinal kuralın ne olduğunu bilmek zor olur. Kural Kimliği aynı kalır ve değiştirilemez; dolayısıyla bir saldırgan, bir kuralın tüm yönlerini tamamen değiştirse bile, kural kimliği aynı olacaktır ve kural kimliğiyle, orijinal kural oluşturma olayını çözebilir ve böylece ne gibi şeyler olduğunu bulabiliriz. saldırgan değişti.
Güvenlik Duvarını Devre Dışı Bırakma
Saldırganlar ayrıca ağ etkinliğiyle ilgili hiçbir kısıtlama olmaksızın Windows güvenlik duvarını tamamen devre dışı bırakabilir. Bu son derece şüpheli bir olay olduğu için SOC Analistleri tarafından izleniyor, dolayısıyla saldırganlar da bunu devre dışı bırakmaktan kaçınıyor çünkü bu olay kesinlikle şüpheli bir faaliyet olarak göze çarpıyor. Ancak, kural oluştururlar/eklerlerse, bu olaylar aynı anda binlerce başka olayın arasına karışacağından, tespit edilme şansı daha az olur. Yukarıda tartışıldığı gibi kurallar Windows işletim sistemi tarafından sürekli olarak ekleniyor/siliniyor, bu nedenle kurumsal bir ortamda saldırganların etkinliklerinin, devre dışı bırakan güvenlik duvarına göre daha az dikkat çekme şansı vardır ve bu da kesinlikle şüphe uyandıracaktır.
Bu olay aynı zamanda yukarıda tartışıldığı gibi aynı güvenlik duvarı olay günlüğüne de kaydedilir. Windows güvenlik duvarı uygulama ayarı her değiştirildiğinde, Olay Kimliği 2003 olayı oluşturulur. Yeni Ayar Türü “Windows Defender Güvenlik Duvarını Etkinleştir” ve Değeri “HAYIR” olan bu etkinlik kimliğiyle bu etkinlikle ilgileneceğiz.
Hadi olayı analiz edelim. Event ID ile filtreleyip görelim.
Tür alanı bize ne tür bir ayarın değiştirildiğini gösterir. “Hayır” Değeri, “Windows güvenlik duvarını etkinleştir” ayarının yanlış olduğu ve etkinleştirilmediği, yani devre dışı bırakıldığı anlamına gelir. Olay sırasında böyle bir olay tespit edersek güvenlik duvarını devre dışı bırakan Kullanıcıyı takip etmemiz gerekir; çünkü bu, güvenliği ihlal edilmiş bir hesap veya bir saldırgan tarafından eklenen yeni bir hesap olabilir.
Güvenlik duvarını etkinleştirelim ve yalnızca tanıtım amaçlı Olayları görelim.
Değerin “Evet” olduğunu görebiliriz; bu, “Windows Defender Güvenlik Duvarını Etkinleştir” ayarının doğru ve etkin olduğu anlamına gelir.
Bu dersimizde Windows Güvenlik Duvarı ile ilgili bazı önemli olay kimliklerini ve saldırganların bu özellikleri nasıl kötüye kullandığını tartıştık.
- Olay Kimliği 2004: İstisna listesine yeni bir kural eklendi.
- Olay Kimliği 2005: Özel durum listesinden bir kural değiştirildi.
- Olay Kimliği 2003: Güvenlik duvarı devre dışı bırakıldı.
Windows Defender Olay Günlükleri
Windows Defender, bilgisayarınızı kötü amaçlı yazılımlara ve diğer tehditlere karşı koruyan yerleşik bir Antivirüs çözümüdür. Windows 10’a dahildir ve yüklü başka bir virüsten koruma yazılımınız olmasa bile bilgisayarınızı korumak için kullanılabilir. Windows Defender, bilgisayarınızı taramak için gerçek zamanlı koruma sağlar ve tehditleri oluşmadan önce algılar. Ayrıca herhangi bir sorunu kontrol etmek için bilgisayarınızı talep üzerine tarayabilir. Herhangi bir tehdit bulursa, izinsiz girişi önlemek için bunları kaldıracak veya karantinaya alacaktır.
Windows Defender Günlükleri, geçmişteki kötü amaçlı yazılım algılamalarını veya olay sırasındaki algılamaları bulmamıza yardımcı olabilir. Bu bize saldırganın hedefi hakkında ipucu verebilir. Saldırganların sistemleri kontrol ettiklerinde ilk yaptıkları işlerden biri Windows Defender’ı devre dışı bırakarak faaliyetlerini aksatmadan gerçekleştirmelerini sağlamaktır. Bunları olay günlüklerinde ve bunların SOC analistleri ve Olay Müdahale Uzmanları için neden önemli olduğunu tartışacağız.
Kötü amaçlı yazılım tespit edildi
Windows Defender tarafından kötü amaçlı yazılım veya kötü amaçlı bir dosya algılandığında meydana gelen olayları analiz edelim. Bu olaylar , Operasyonel günlük dosyasında Microsoft->Windows->Windows Defender altında “Uygulama ve Hizmet Günlükleri” altında saklanır . Kötü amaçlı yazılım algılama olaylarına ilişkin olay kimliği 1116’dır. Bu olay kimliğini filtreleyelim.
Bazıları meydana gelme tarihi ve saatine göre yaklaşık bir ay arayla 9 olay var. Gelin son durumu analiz edelim.
Görebildiğimiz alanlar; tespit süresi, kötü amaçlı yazılımın adı, kötü amaçlı yazılımın ne kadar tehlikeli olduğunun bir göstergesi olan önem derecesi, sistemde bulunan dosyanın yolu, kötü amaçlı yazılımın kategorisi ve kötü amaçlı yazılımın işlem adıdır. kötü amaçlı yazılımın bilgisayara yüklenmesi için kullanılan gerçek aracı. Bu durumda kaşiftir çünkü kötü amaçlı yazılımı güvenli bir konumdan (Savunucu taramasının dışında bırakılan klasör) savunucunun kötü amaçlı yazılımı tespit edebileceği bir konuma kopyaladık. Değişikliği görmek için bunu CMD’den kopyalamayı deneyelim.
Burada işlem adının cmd.exe olduğunu görebiliriz.
Bu olaylar, kötü amaçlı yazılımın türünü veya bunların Microsoft Defender’ın büyük olasılıkla algılayacağı bir uç noktada yapabilecekleri kötü amaçlı etkinlikleri anlamamıza yardımcı olabilir. Saldırganlar, savunmalardan kaçmak için gizlenmiş araçlar/kötü amaçlı yazılımlar kullanır, ancak imza veritabanlarını sürekli olarak kötü amaçlı imzalarla geliştirip güncelledikleri ve şüpheli faaliyetler için yapay zekanın avantajlarından yararlandıkları için büyük olasılıkla Antivirüs motorlarına rastlarlar. Aynı kötü amaçlı yazılım, saldırgan onu test ettiğinde Windows Defender’ı atlıyor olabilir, ancak imza veritabanını kullandığında tespit edilmesiyle sonuçlanacaktır.
Kötü Amaçlı Yazılım İşlemi Gerçekleştirildi
Windows Defender, kötü amaçlı yazılım veya şüpheli dosyaları tespit ettikten sonra dosyayı kaldırmak veya karantinaya almak gibi bir işlem gerçekleştirebilir. Bu, Windows Defender’ın nasıl yapılandırıldığına bağlıdır. Bu etkinlik aynı zamanda olay kimliği 1117 ile günlüğe kaydedilir. Bunu filtreleyip görüntüleyelim. Son olayı görelim.
Bilgilerin çoğunu, bazı ek bilgilerle birlikte kötü amaçlı yazılım algılama olayıyla aynı şekilde görebiliriz. Etkinlik açıklaması bize bu olayın ne anlama geldiğini anlatır; eylem olayı ise kötü amaçlı yazılımın silinip silinmediğini, karantinaya alındığını veya izin verilip verilmediğini belirtir. Hata açıklamasında bunun başarılı mı yoksa başarısız mı olduğu belirtilir.
Bu olaylar, bir saldırganın kötü amaçlı yazılımı cihaza başarılı bir şekilde yerleştirebildiği durumlarda önemli olabilir; dolayısıyla bu durumda “Eylem” alanının dikkate alınması önemlidir. Ayrıca “Hata açıklaması” işlemin başarılı olup olmadığını gösterir.
Gerçek Zamanlı Korumayı Devre Dışı Bırakma
Windows Defender, bu Antivirüs ürününün ana çekirdeğini oluşturan “Gerçek Zamanlı Koruma” adı verilen temel bir özelliğe sahiptir. Tehditleri, diskte mevcut olduğu veya çalıştırıldığı anda gerçek zamanlı olarak algılar. Bu ayarı devre dışı bırakırsak, yeni dosyalar motoru tarafından gerçek zamanlı olarak taranmayacak ve kötü amaçlı yazılım tespit edilemeyecektir.
Saldırganlar ayrıca daha yüksek ayrıcalıklara sahip olmaları durumunda bunu devre dışı bırakabilir ve ardından kötü amaçlı araçlarını ağda daha fazla yararlanmak üzere aktarabilirler. Bu olay Event ID 5001 ile kayıt altına alınmıştır. Şimdi bu olayı analiz edelim.
Bu olayın diğer olaylar gibi herhangi bir ek parametresi yoktur; bu olay kimliği yalnızca diğer değişkenlerden bağımsız olarak gerçek zamanlı korumayı devre dışı bırakmak içindir. Bu, özellikle kurumsal ortamlarda oldukça şüpheli bir olaydır.
Hariç Tutulan Dosya ve Klasörleri Algılama
Saldırganlar belirli dosya veya klasörlerin işaretlenmesini ve taranmasını engelleyebilir. Örneğin, bir saldırgan bir hizmete ilişkin bazı kimlik doğrulama belirteçlerini veya kimliğe bürünme belirteçlerini çalmak için Mimikatz’ı kullanmak isterse, saldırgan Microsoft Defender ayarlarında Mimikatz ikili dosyasını hariç tutabilir. Bu aynı zamanda herhangi bir dosya veya klasöre de uygulanabilir. Saldırganlar tüm kullanıcı profilini hariç tutmaya bile ekleyebilir; bu, antivirüsün hala aktif ve çalışır durumdayken bu yol/dosya üzerinde algılama ve önleme gerçekleştirmeyeceği anlamına gelir. Bu, Windows Defender’ın kendisini devre dışı bırakmaktan daha az gürültülüdür ancak yine de saldırganın motivasyonuna ve amacına fayda sağlar.
Bu olay, Olay Kimliği 5007 ile aynı olay günlüğü dosyasına kaydedilir. Bu Olay Kimliği özel olarak dışlama yolları için değil, Windows Defender’daki herhangi bir yapılandırma değişikliği içindir. Bu, tıpkı Windows’un normal işlemleri için ayarları değiştirmesi gibi birçok gereksiz olayın kaydedileceği anlamına gelir. Olayın zaman çerçevesi biliniyorsa, birçok gürültüyü azaltabilir ve orada istisnayı bulmaya çalışabiliriz. Bu, bir saldırgan tarafından dahili bir ağda kullanılan, kötü amaçlı yazılım/araç içeren olası dosya veya klasörleri, hariç tutma listesine eklendikleri için hâlâ tespit edilemeyerek bulmamıza yardımcı olabilir.
Gösterim amacıyla bir olayı analiz edelim.
Hariç tutmayla ilgili bir olayı ve yasal bir yapılandırma değişikliğini inceleyelim.
Etkinlik açıklamasında şu yolu aramamız gerekiyor:
“ HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\ ”
Bu kayıt defteri yolu mevcutsa bu olay, eklenen Dışlamalarla ilgili olacaktır. Herhangi bir konfigürasyon değişikliği için olay kimliği 5007’nin günlüğe kaydedildiğini unutmayın; bu nedenle, ayırt etmek için bu olaylarda bu özel yolu aramamız gerekir.
Gerçek hariç tutma yolu \Yollar\’dan sonra olacaktır . Bizim durumumuzda bu: “ C:\Users\pc\Desltop\CyberJunkie’s APT Tools ”
Bu Derste şunları tartıştık:
- Olay Kimliği 1116: Kötü amaçlı yazılım veya şüpheli dosyalar algılandı.
- Olay Kimliği 1117: Kötü amaçlı yazılıma veya şüpheli dosyaya karşı gerçekleştirilen eylem.
- Olay Kimliği 5001: Gerçek Zamanlı Koruma devre dışı bırakıldı.
- Olay Kimliği 5007: Dosya/Klasör Hariç Tutuldu.
Powershell Komut Yürütme Olayı günlükleri
PowerShell, Windows’un birçok sürümünde bulunan güçlü bir araçtır ve genellikle sistem yöneticileri tarafından sistemlerini yönetmek için kullanılır. Ancak bilgisayar korsanları tarafından kötü niyetli faaliyetlerini gerçekleştirmek için de kullanılabilir. Bunun nedeni, PowerShell’in kapsamlı işlevselliği aracılığıyla bir saldırganın rastgele kod yürütmesine, sistem kaynaklarına erişmesine ve diğer programları kontrol etmesine olanak sağlamasıdır. PowerShell, bir sistemi korumak için mevcut olan güvenlik kontrollerini atlamak için kullanılabilir. Örneğin bir saldırgan, güvenlik duvarlarını veya antivirüs yazılımlarını devre dışı bırakmak için PowerShell’i kullanabilir ve bu da saldırılarını gerçekleştirmelerini kolaylaştırabilir. PowerShell’de, yasal amaçlar için yapılmış ancak saldırganlar tarafından yasal görünmek amacıyla kötüye kullanılabilecek birçok yerleşik cmdlet, modül bulunur. PowerShell ayrıca bir saldırganın kötü amaçlı komut dosyalarını yürütmek için zamanlanmış görevler oluşturarak kalıcılığı korumak için kullanabileceği komut dosyaları oluşturmaya da olanak tanır.
PowerShell, saldırganların kullanmayı sevdiği en sevilen araçlardan biridir ve çok güçlü olduğundan tehdit aktörleri tarafından yaygın şekilde kötüye kullanılmaktadır. PowerShell etkinliğini izlemek, uç noktada meydana gelen etkinliklere ilişkin daha iyi görünürlük sağlayabilir. PowerShell komutları Microsoft->Windows->PowerShell->Operasyonel’de “Uygulamalar ve Hizmet Günlükleri” altına kaydedilir.
Bakalım ne tür olaylar yaşanacak.
Görev Kategorisi “Uzaktan Komut Yürütme” ve olay düzeyi “Ayrıntılı” olan Olay Kimliği 4104 ile ilgileniyoruz. Bu durumda, yürütülen komut diğer bazı ilgili bilgilerle birlikte kaydedilir. PowerShell’de tek bir komut yürütüldüğünde, o komutun yürütülmesiyle ilgili kısa sürede çok sayıda olay meydana gelir. Gereksiz gürültüyü ortadan kaldırmak ve bizim için yararlı olan bilgileri elde etmek için bu olayları nasıl filtreleyeceğimizi görelim.
Öncelikle sadece Olay Kimliği 4104, Olay Düzeyi “Ayrıntılı” ve biliniyorsa olayın tarih ve saatine göre filtrelememiz gerekiyor. Bizim durumumuzda olayın 5 Ocak 2023 civarında gece 02:02:00 civarında meydana geldiğini varsayalım.
Bu filtreyi uygulamak olaylarımızı büyük ölçüde azaltacak ve analiz etmemizi kolaylaştıracaktır. Olay zamanı tam olarak bilinmese bile, Olay Kimliği ve Olay Düzeyine göre filtreleme yapmak bizi, bir komut yürütüldüğünde PowerShell tarafından arka planda gerçekleşen etkinlikler olan “İşlem Hattını Yürütme” Görev kategorisine ait tüm olaylardan kurtaracaktır.
Filtrelenen olayları analiz edelim.
29 olaydan 6’sının koşullarımıza uyduğunu görebiliyoruz. İlk önce meydana gelen olaydaki verileri görüntüleyelim.
“Creating Scriptblock text” yani “whoami” yazısının altında çalıştırılan komutu görebiliriz. Olayın zamanı, komut yürütüldükten hemen sonra kaydedildi. Kullanıcı hesabı ve Etki Alanı/Bilgisayar adı da yararlı bilgiler olarak kaydedildi. Bundan hemen sonra meydana gelen bir sonraki olaya baktığımızda, çalıştırılan komutun olması gereken yerde “istem” ifadesini de görebiliriz. Bir olayda yürütülen her komuttan sonra, bu “istem” dizisine sahip bir olay göreceğiz. Bu nedenle, komut bilgisini tutan olaydan sonra bir olayı atlayın. İlk olayı analiz ettikten sonra üçüncüye, ardından beşinciye geçmeliyiz.
Ancak bazen PowerShell arka planda komutları çalıştırır ve bu da filtremizde bir miktar gürültüye neden olabilir.
Neyse, ilkinden sonra hangi komutun yürütüldüğünü görmek için Üçüncü olaya bakalım.
Üçüncü komut, bilgisayardaki mevcut kullanıcı hesaplarını görüntüleyen “Get-LocalUser”dır. Tehdit aktörlerinin, bir sisteme ilk erişimlerini sağladıktan sonra, ayrıcalıkları artırmak ve yanlara doğru hareket etmek için sistemi numaralandırmaya başlamasıyla bu tür komutlar beklenir. Şimdi beşinci olaya bakalım.
“Get-LocalGroup” komutu bilgisayardaki mevcut grupları görüntüler ve aynı zamanda saldırganlar için numaralandırma aşamasının bir parçasıdır.
Bu komutların doğası gereği bunların meşru bir kullanıcının çalıştıracağı komutlar olmadığı açıktır. Ayrıca bu komutların, tehdit aktörlerinin istismar sonrası faaliyetlerinin başlangıç aşamasında kullanıldığı da bilinmektedir. Saldırganlar tarafından yürütülen, örneğin PowerShell’deki mimikatz.exe gibi kötü amaçlı araçların çalıştırılması gibi tüm komutlar günlüğe kaydedilir ve bize izinsiz girişlere dair kanıt sağlar. Tartıştığımız örnekten, bu komutlar olay anından kısa bir süre sonra yürütüldüğü için sisteme onaylanmış bir izinsiz giriş olduğu sonucuna varılabilir. Daha sonra saldırgan daha fazla zarar vermeden önce bilgisayarda başka işlemler yapılabilir.