Bir Windows olay günlüğü yardımcı programı olan Wevtutil.exe, günlükleri sızma amacıyla dışa aktarmak, belirli olay verilerini sorgulamak veya günlükleri temizlemek için Living Off the Land’de (LOLBAS) kötü amaçlı olarak kullanılabilir.
Saldırganlar, Karada Yaşayan İkili Dosyalar ve Komut Dosyaları (LOLBAS) taktiklerini giderek daha fazla kullanıyor.
Bu teknikler, kötü amaçlı eylemler gerçekleştirmek için güvenilir, önceden yüklenmiş Windows araçlarına dayanır ve sıklıkla güvenlik önlemlerini tespit edilmeden atlatır.
Denwp Research blogunda “Wevtutil.exe, LOLBAS bağlamında olay günlüklerini temizlemek, sorgulamak veya dışa aktarmak için kullanılabilir, bu da saldırganların tespitten kaçmasına ve verileri sızdırmasına yardımcı olur” diyor.
Windows platformlarındaki yerleşik varlığı nedeniyle, sömürü sonrası faaliyetler için etkili ve gizli bir araçtır.
Saldırganlar Windows Olay Günlüğü Yardımcı Programını İstismar Ediyor
Wevtutil.exe, sistem yöneticileri tarafından denetim veya sorun giderme amacıyla günlükleri toplamak ve düzenlemek için sıklıkla kullanılır. Wevtutil.exe’nin özelliği, kullanım amacı ne olursa olsun, zararlı amaçlar için kullanılabilir.
API güvenlik açığı ve Sızma Testi için en iyi uygulamalar -> Ücretsiz Web Semineri
wevtutil.exe’nin temel özellikleri şunları içerir:
- Olay günlüklerini XML formatına aktarma.
- Belirli veya tüm olay günlüklerinin temizlenmesi.
- Tanımlanan kriterlere göre olay günlüklerinin sorgulanması.
Wevtutil.exe bu özellikleri nedeniyle iki ucu keskin bir kılıçtır; Yasal faaliyetler için çok yararlı olsa da saldırganların izlerini gizlemelerine veya verileri çalmalarına da yardımcı olabilir.
Wevtutil cl, saldırganlara bireysel günlükleri seçerek veya tamamen silme yeteneği verir.
Günlük temizleme yeni bir strateji olmasa da alışılmadık araçların kullanılması, çoğunlukla PowerShell gibi popüler programları hedef alan algılama sistemlerini önlemeye yardımcı olabilir.
Araştırmacılar ayrıca, uygulama günlüklerinin yükseltilmiş bir komut istemi kullanılarak etkili bir şekilde temizlendiğini söyledi.
Windows Olay Görüntüleyicisi’nde, Güvenlik günlüğü temizlendiğinde Olay Kimliği 1102 oluşturulur. Bu olay, önemli bir güvenlik göstergesi olan denetim günlüklerinin temizlendiğini gösterir.
Savunmacılar ve güvenlik izleme yazılımı için Olay Kimliği 1102, oturum açma bilgileri ve günlük temizleme faaliyetini gerçekleştiren süreç gibi bilgileri içerdiğinden oldukça dikkat çekicidir.
Varsayılan olarak Windows, Uygulama veya Sistem gibi güvenlikle ilgili olmayan günlüklerin silindiğini gösteren olayları kaydetmez. Yöneticiler, günlük kaldırma işlemlerini izlemek için Denetim İlkelerini etkinleştirerek bu durumu hafifletebilir.
Ayrıca wevtutil qe komutu şunu sağlar: Wevtutil.exe olay günlüklerini XML formatında dışa aktarmak için. Günlükler, kimlik bilgileri veya dahili etkinlik işaretleri gibi bir saldırganın çıkarabileceği ve sızdırabileceği hassas bilgiler içerebilir.
Wevtutil.exe, günlüklerin hassas bir şekilde sorgulanmasını mümkün kılarak saldırganlara kullanıcı veya sistem etkinliği hakkında bilgi verir.
Saldırganlar, özelleştirilmiş sorgular kullanarak ayrıcalıklı işlemler, sistem hataları veya kimlik doğrulama girişimleri hakkında bilgi edinebilir.
wevtutil.exe’yi LOLBAS araçları zincirinin bir parçası olarak kullanmak, etkinliklerin anlaşılmasını daha da zorlaştırabilir. Örneğin bir saldırgan şunları yapabilir:
- Wevtutil.exe’yi kullanarak günlükleri dışa aktarın.
- Dışa aktarılan dosyayı makecab.exe ile sıkıştırın.
- Dosyayı uzak bir konuma yüklemek için certutil.exe’yi kullanın.
Kuruluşların bu yeni wevtutil.exe kötüye kullanımıyla mücadele etmek için gelişmiş izlemeyi, olay günlüğü bütünlüğünü ve davranışsal analitiği dikkate alması gerekir.
Gelişmiş denetim ilkelerinin etkinleştirilmesi, Güvenlik dışı günlükler için bile algılama yeteneklerini geliştirebilir ve olayları günlüğe kaydedebilir.
Ek olarak, bu davranışları anlamak, hem bu yardımcı programdan yararlanan kırmızı takımlar hem de kötüye kullanımı tespit edip en aza indirmek isteyen savunmacılar için kritik öneme sahiptir.
Analyse Advanced Phishing Analysis With ANY.RUN Black Friday Deals : Get up to 3 Free Licenses.