Neler yeni

phant0m ile sistemde log tutulmasını engellemek (1 Viewer)

Gök-Börü

Pentester
ye152
Mesajlar
68
Credits
0
• Phant0m Nedir ve Kullanımı?
Phant0m, sistemin EventLog sistemini elegeçirip oradaki Log alımını ve tutumunu engelliyor.
• EventLog Nedir?
Windows'da logların tutulduğu kısma EventLog (Olay Günlükleri) denir. Bu loglar sistem aktif haldeyken arkaplanda kayıt altına alınır. Bu sayede bilgisayarınıza yapılacak herhangi bir saldırıyı farkedip engelleme yetkisine sahiptir.

• Phant0m Kullanımı?
Öncelikle https://github.com/hlldz/Invoke-Phant0m buradan dosyamızı indiriyoruz.

Daha sonra Görev yöneticisinden "EventLog" servisini kullanan "svchost.exe" yi bulalım

48

Şimdi şunu sorabilirsiniz;
Yukarıda bir ton "svchost.exe" var sen bunun "phant0m" olduğunu nerden anladın ?
Cevabı da şudur: "svchost.exe"ye sağ tık yapıp hangi servisi kullandığını görebilirsiniz.
Bu işlemi yaptığınızda eğer doğru "svchost.exe" ile karşı karşıyaysanız, karşınızda açılan pencerede aşağıdaki görseli göreceksiniz.
49

Yukarıdaki görsele ek olarak "Olay Görüntüleyicisi"ni de açarak "EventLog"un kaç adet log barındırdığını görebilirsiniz.

İşlemin devamına gelecek olursak;
Windows arama kısmına PowerShell yazarak "Yönetici Olarak Çalıştırın."
Açılan pencereye ise aşağıdaki komutları yazın.
50

Bu sayede phant0m'un bulunduğu dizine girmiş oluyoruz ve "Import-Module .\Invoke-Phant0m.ps1" komutunu uyguluyoruz.
Ardından ise "Invoke-Phant0m" yazarak uygulamamızı başlatıyoruz;
51

Yukarıda da gördüğünüz gibi EventLog servisinin PID değerini buldu ilk önce ve içinde ki servisleri öldürdü.

Bunu neden anlattın derseniz bende bilmiyorum kıyıda köşede duruyordu buraya ekledim :)
şaka bir yana saldırı olaylarında kullanabilirsiniz.
 
Mesajlar
1,647
Credits
1,445
• Phant0m Nedir ve Kullanımı?
Phant0m, sistemin EventLog sistemini elegeçirip oradaki Log alımını ve tutumunu engelliyor.
• EventLog Nedir?
Windows'da logların tutulduğu kısma EventLog (Olay Günlükleri) denir. Bu loglar sistem aktif haldeyken arkaplanda kayıt altına alınır. Bu sayede bilgisayarınıza yapılacak herhangi bir saldırıyı farkedip engelleme yetkisine sahiptir.

• Phant0m Kullanımı?
Öncelikle https://github.com/hlldz/Invoke-Phant0m buradan dosyamızı indiriyoruz.

Daha sonra Görev yöneticisinden "EventLog" servisini kullanan "svchost.exe" yi bulalım

Ekli dosyayı görüntüle 48

Şimdi şunu sorabilirsiniz;
Yukarıda bir ton "svchost.exe" var sen bunun "phant0m" olduğunu nerden anladın ?
Cevabı da şudur: "svchost.exe"ye sağ tık yapıp hangi servisi kullandığını görebilirsiniz.
Bu işlemi yaptığınızda eğer doğru "svchost.exe" ile karşı karşıyaysanız, karşınızda açılan pencerede aşağıdaki görseli göreceksiniz.
Ekli dosyayı görüntüle 49

Yukarıdaki görsele ek olarak "Olay Görüntüleyicisi"ni de açarak "EventLog"un kaç adet log barındırdığını görebilirsiniz.

İşlemin devamına gelecek olursak;
Windows arama kısmına PowerShell yazarak "Yönetici Olarak Çalıştırın."
Açılan pencereye ise aşağıdaki komutları yazın.
Ekli dosyayı görüntüle 50

Bu sayede phant0m'un bulunduğu dizine girmiş oluyoruz ve "Import-Module .\Invoke-Phant0m.ps1" komutunu uyguluyoruz.
Ardından ise "Invoke-Phant0m" yazarak uygulamamızı başlatıyoruz;
Ekli dosyayı görüntüle 51

Yukarıda da gördüğünüz gibi EventLog servisinin PID değerini buldu ilk önce ve içinde ki servisleri öldürdü.

Bunu neden anlattın derseniz bende bilmiyorum kıyıda köşede duruyordu buraya ekledim :)
şaka bir yana saldırı olaylarında kullanabilirsiniz.
Eline Sağlık Sağlam Konu
 

Bu konuyu görüntüleyen kullanıcılar