İPUCU

Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

Seçenekler

Phant0m ile Sistemde Log Toplanmasını Engelleme //"P4RS

"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team (Deneyimli)
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
3.399
Konular:
272
Teşekkür (Etti):
461
Teşekkür (Aldı):
1019
Ticaret:
(0) %
12-07-2019 11:54
#1
Phant0m ile Sistemde Log Toplanmasını Engelleme //"P4RS
Merhabalar TürkHackTeam ailesi, bugün sizlere bir uygulamadan bahsedeceğim. Bu uygulama sayesinde EventLog sistemi tamamen temizlenecek ve temizlendiğine dair bir kanıt kalmayacak ayrıca arkada EventLog sistemi çalışacak fakat Log tutamayacak. Hadi başlayalım...

Konu Başlıkları
• EventLog (Olay Günlükleri) Nedir?
• Phant0m Nedir ve Kullanımı?


Öncelikle EventLog nedir bundan bahsedeyim olayı daha iyi anlamanız için.

EventLog (Olay Günlükleri) Nedir?

Windows sistemlerimizde Logların tutulduğu alana EventLog denir. Bu Loglar sistem çalışırken arka planda kayıt altına alınır. Bu kayıtlar sayesinde kullanıcı cihazına bir saldırı gerçekleştiğinde fark edip önlem alabilir.

Şunu da belirtmek isterim Sistem Servisleri "svchost.exe" adı altında birleşirler. Bu şekilde birleşmezler ise Servisleri yönetmek zor olacaktır hem de bilgisayarı daha fazla yoracaktır. Bu "svchost.exe" adı altında birleşmesi kullanıcılar için daha yararlı oldu.


Phant0m Nedir ve Kullanımı?

Phant0m, yukarıda da belirttiğim gibi sistemin EventLog sistemini elegeçirip oradaki Log alımını ve tutumunu engelliyor.



Öncelikle https://github.com/hlldz/Invoke-Phant0m buradan dosyamızı indiriyoruz.

Daha sonra Görev yöneticisinden "EventLog" servisini kullanan "svchost.exe" yi bulalım



Ben burada buldum nasıl buldun derseniz



"Hizmetlere Git" diyerek hangi servisi kullandığını görebiliriz.



Gördüğünüz gibi "EventLog" u kullanıyor.



Şimdi "Olay Görüntüleyici" ye gelip "Güvenlik" loglarına bakalım. Gördüğünüz gibi 513 adet log var. Bunların hepsini şimdi siliyorum ben çünkü biz işlem yaptığımızda kafanız karışmasın daha rahat görebilin.



Öncelikle "svchost.exe" de çalışan EventLog servislerini görelim.



PowerShell'i yönetici olarak çalıştıyoruz.



Daha sonra "Invoke-Phant0m" dosyamızın olduğu dizine giriyoruz ve
Kod:
Import-Module .\Invoke-Phant0m.ps1
yazıyoruz. Ardından
Kod:
Invoke-Phant0m
yazarak uygulamamızı başlatıyoruz.



Gördüğünüz gibi EventLog servisinin PID değerini buldu ilk önce ve içinde ki servisleri öldürdü.



Buradan da görebiliriz. Şimdi şifre değiştirme işlemi yapacağız hata vermesini sağlayacağız. Normal de güvenlik kısmına logu düşer denendi ve başarısız olundu tarzında bakalım.



Gördüğünüz gibi herhangi bir log oluşmadı ve gönderilmedi. Yeniledim ben Güvenlik kısmını fakat yine aynı şekilde çalışmadı.

Bunun bize yararı ne derseniz saldırı olaylarında kullanabilirsiniz.



Konum bu kadardı arkadaşlar başka bir yazı da görüşmek üzere kendinize iyi bakın


---------------------
SolidStar

Twitter Telegram

"Aydın beyinleri bekliyor karanlık gelecek"
"Tranquila, cd err0r Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı