THT DUYURU

chat
Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

takipci
chat
Seçenekler

Phant0m ile Sistemde Log Toplanmasını Engelleme //"P4RS

"P4RS - ait Kullanıcı Resmi (Avatar)
Purple Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
19
Mesajlar:
4.849
Konular:
542
Teşekkür (Etti):
1440
Teşekkür (Aldı):
2820
Ticaret:
(0) %
0
2609
12-07-2019 11:54
#1
Phant0m ile Sistemde Log Toplanmasını Engelleme //"P4RS
[COLOR="Teal[COLOR="White https://github.com/hlldz/Invoke-Phant0m buradan dosyamızı indiriyoruz.

Daha sonra Görev yöneticisinden "EventLog" servisini kullanan "svchost.exe" yi bulalım



Ben burada buldum nasıl buldun derseniz



"Hizmetlere Git" diyerek hangi servisi kullandığını görebiliriz.



Gördüğünüz gibi "EventLog" u kullanıyor.



Şimdi "Olay Görüntüleyici" ye gelip "Güvenlik" loglarına bakalım. Gördüğünüz gibi 513 adet log var. Bunların hepsini şimdi siliyorum ben çünkü biz işlem yaptığımızda kafanız karışmasın daha rahat görebilin.



Öncelikle "svchost.exe" de çalışan EventLog servislerini görelim.



PowerShell'i yönetici olarak çalıştıyoruz.



Daha sonra "Invoke-Phant0m" dosyamızın olduğu dizine giriyoruz ve
Kod:
Import-Module .\Invoke-Phant0m.ps1
yazıyoruz. Ardından
Kod:
Invoke-Phant0m
yazarak uygulamamızı başlatıyoruz.



Gördüğünüz gibi EventLog servisinin PID değerini buldu ilk önce ve içinde ki servisleri öldürdü.



Buradan da görebiliriz. Şimdi şifre değiştirme işlemi yapacağız hata vermesini sağlayacağız. Normal de güvenlik kısmına logu düşer denendi ve başarısız olundu tarzında bakalım.



Gördüğünüz gibi herhangi bir log oluşmadı ve gönderilmedi. Yeniledim ben Güvenlik kısmını fakat yine aynı şekilde çalışmadı.

Bunun bize yararı ne derseniz saldırı olaylarında kullanabilirsiniz.



Konum bu kadardı arkadaşlar başka bir yazı da görüşmek üzere kendinize iyi bakın


[/COLOR]
---------------------



purple-team@turkhackteam.org

"Tranquila, cd err0r Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler