Bir Windows Olay Günlüğü yönetim aracı olan wevtutil.exe, LOLBAS saldırıları için kötüye kullanılabilir. Saldırganlar, yeteneklerini manipüle ederek geleneksel güvenlik önlemlerinden kaçarken rastgele komutlar yürütebilir, kötü amaçlı yükleri indirebilir ve kalıcılık sağlayabilir.
Saldırganların sistem günlüklerini değiştirmek, potansiyel olarak kötü amaçlı etkinlikleri gizlemek veya sistem bütünlüğünü tehlikeye atmak için kullanabileceği, olay günlüğü yönetimine yönelik bir Windows aracıdır.
Olay günlüklerinin XML olarak dışa aktarılmasını etkinleştirerek, günlükleri seçici olarak veya tamamen temizler ve belirli kriterleri kullanarak günlükleri sorgular. Sistem yöneticileri için gerekli olsa da bu araç, saldırganlar tarafından kötü amaçlı etkinlikleri gizlemek veya hassas verileri çalmak için kötüye kullanılabilir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Araç, istismar sonrası senaryolarda olay günlüklerini manipüle etmek için kötüye kullanılabilir; saldırganlar bu araçtan hassas günlük verilerini temizlemek, sorgulamak veya dışa aktarmak için yararlanabilir, olaya müdahale çabalarını engelleyebilir ve veri sızmasını kolaylaştırabilir.
Saldırganlar, PowerShell gibi daha sık kullanılan araçlara odaklanan geleneksel güvenlik önlemlerini atlamak için daha az yaygın bir yardımcı programdan yararlanarak tespitten kaçınmak ve olay müdahale çabalarını engellemek amacıyla Uygulama günlükleri gibi belirli olay günlüklerini seçici olarak temizlemek için “wevtutil cl” komutunu kullanıyor.
‘Erişim Reddedildi’ hatasını çözmek ve Uygulama günlüklerinin başarıyla temizlenmesini sağlamak için, kullanıcı ayrıcalıklarının komut istemi aracılığıyla yönetici düzeyine yükseltilmesi gerekir.
wevtutil bir olay günlüğünden belirli olayları seçici olarak temizleyemez; yalnızca tüm günlükleri temizler; burada güvenlik günlüğünün temizlenmesi, bir güvenlik göstergesi olan Olay Kimliği 1102’yi oluşturduğundan daha az gizlidir.
Olay Kimliği 1102, kullanıcı ve ilgili süreç de dahil olmak üzere günlük temizleme faaliyetleri hakkında ayrıntılı bilgi sağlayarak, güvenlik araçları tarafından kolayca tespit edilmesini sağlayarak gizli saldırganlar için çekiciliğini azaltır.
Windows, denetim ve adli tıp için gerekli olan kritik Güvenlik günlüğüne kıyasla bu günlüklere atanan önceliğin daha düşük olması nedeniyle Güvenlik dışı günlüklerin temizlenmesi için olayları yerel olarak günlüğe kaydetmez.
Yöneticiler, günlük yönetimi ayarlarında yapılan değişiklikleri izlemek için “Gelişmiş Denetim İlkesi Yapılandırması” altındaki “Diğer Nesne Erişim Olaylarını Denetle” ilkesini etkinleştirerek günlük temizleme faaliyetlerini izlemek için Denetim İlkelerini uygulayabilir.
Bir saldırgan, hassas olay günlüklerini XML biçiminde dışa aktarmak için “wevtutil qe” komutunu kullanabilir; bu da potansiyel olarak kimlik bilgilerini veya dahili etkinlik göstergelerini sızdırabilir. Başarılı yürütme, yükseltilmiş ayrıcalıklar gerektirse de hassas bilgileri tehlikeye atabilir.
Denwp’e göre, yöneticiler ve okuma erişimine sahip kullanıcılar, kullanıcı izinlerine bağlı olarak belirli günlüklere erişerek günlükleri dışa aktarabilir; yöneticiler daha geniş erişime sahiptir ve standart kullanıcılar genellikle uygulama/sistem günlükleriyle sınırlıdır.
wevtutil.exe’yi içeren LOLBAS saldırılarını azaltmak için kuruluşlar izlemeyi geliştirmeli, olay günlükleri üzerinde sıkı erişim kontrolleri uygulamalı ve anormal kullanım kalıplarını tespit etmek ve wevtutil.exe, makecab.exe ve certutil.exe gibi şüpheli araç kombinasyonlarını işaretlemek için davranışsal analizlerden yararlanmalıdır.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın