Erdem Gazeloğlu
Gönderiler Etiketler Katagoriler
Erdem Gazeloğlu

İçerikler

Splunk ile AdFind.exe Tespiti

 Blue Team kategorileri içinde
   380 kelime   2 minutes 
/posts/splunk-ile-adfind.exe-tespiti/featured-image.webp

Bu gönderide sizlere Splunk Enterprice üzerinde Windows Server’dan Sysmon aracılığıyla AdFind.exe’nin tespit etmeyi göstereceğim.

1. Linux Makineye Splunk Kurulumu

www.splunk.com üzerinden Splunk Enterprise versiyonunu linux için indiriyoruz. Benim bilgisayarım da Kali Linux olduğu için ben .deb uzantısını tercih ediyorum.

/down_splunk_ss.png

Kurulum tamamlandıktan sonra ilk başlatma işleminde yönetici(administrator user) bilgilerini oluşturmamız gerek.

Splunk default olarak /opt/splunk dizini altına kurulur.

cd /opt/splunk

Splunk’ın dizin yapısı hakkında basit bir görsel.

/splunk_directory_structure.jpg

Burada /bin dizini içerisinde çalıştırılabilir komutlarımız bulunuyor.

cd ./bin
sudo ./splunk start --accept-license

Splunk bizden bir admin kullanıcısı ve parolası oluşturmamızı isteyecek bu kullancıı adı ve parola bizim Splunk’ın varsayılan olarak 8000 portunda hizmet veren web arayüzüne giriş yapmamızı sağlıyor.

/splunk_admin.png

Şimdide Windows Server için Splunk Universal Forwarder indirip kuralım.

/splunk_forwarder.png

Tespitini yapmak üzere AdFind.exe aracını bu linkten indirebilirsiniz.

AdFind.exe aracı sitesinde de belirtildiği üzere temel olarak bir aktif dizin sorgulama aracı. AdFind’ı tespit etmemiz için sysmon aracına ihtiyacımız olacak çünkü windows’un hali hazırda mevcut olan loglama sisteminden biz tehdit içeren AdFind.exe loglarına ulaşamıyoruz, wmi burada yetersiz kalıyor.

2. Windows Server Üzerine Sysmon Kurulumu

Varsayılan olarak sysmon kurulumu için

sysmon -accepteula -i

Hiçbir konfigürasyon dosyası vermeden kurulum gerçekleştirir. Varsayılan konfigürasyonu görmek için

sysmon -c

/sysmon_installation.png

Eğer çıktı yukarıdaki gibiyse sysmon başarıyla kurulmuş demektir.

3. Windows Server Üzerine Splunk Forwarder Kurulumu

Kurulum esnasında Local Server seçeneğini seçerek devam ediyoruz. Hemen ardından karşımıza çıkan ekranda ben aşağıdaki gibi ayarladım.

/splunk_forwarder_settings.png

Sonra admin kullanıcısı oluşturuyoruz. Ben splunk_admin adında bir kullanıcı oluşturdum. Deployment Server kısmına Splunk Enterprise’ı kurduğumuz makinenin ip adresini yazıyoruz varsayılan port olan 8089 olarak giriyoruz.

Receiving indexer için yine aynı şekilde Splunk Enterprise’ı kurduğumuz makinenin ip adresini yazıyoru ve varsayılan portu giriyoruz yani 9997 portu.

Splunk Forwarder’ın Sysmon loglarını alabilmesi için kurulu olduğu dizinden /etc/system/local konumunda inputs.conf dosyasını düzenlememiz lazım.

[WinEventLog://Microsoft-Windows-Sysmon/Operational]
checkpointInterval = 5
current_only = 0
disabled = 0
start_from = oldest

Değişiklikleri kaydedip yeniden başlatalım

%Splunk_Home%\bin>splunk restart

Forwarder’ın aktif olup olmadığını kontrol edelim.

%Splunk_Home%\bin>splunk list forward-server

Splunk Enterprise arayüzünde Find More Apps seçeneğine tıklayarak arama kutusuna Splunk Add-on for Sysmon yazıp yüklüyoruz.

4 AdFind.exe tespiti

Windows makinemizde AdFind.exe ile log oluşturmak adına;

Query the schema version

AdFind -schema -s base objectVersion

Query wellKnownObjects

AdFind -schema -s base objectVersion

Komutlarını giriyoruz.

/adfind_examples.png

Splunk Enterprise’ın Search arayüzünden

host=WIN2K12R2 adfind.exe

aramasını yaparsanız adfind.exe loglarını görmeye başlarsınız. Burada host yerine Windows Server’ınızın hostname’ini girmeniz gerek zaten Data Summary’den de bu hostname’e erişebilirsiniz.

/adfind_tespit.png

2023-05-24 tarihinde güncellendi
 SplunkBlue TeamAdFind.exe
Geri | Anasayfa