• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Логи Firewall и скрытие своего присутствия

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 290
Привет, в этой статье займемся включением логов Firewall в Windows, затем безопасно их удалим, тем самым скрыв следы нашего присутствия в системе, имея активную сессию meterpreter.

Логи Firewall и скрытие своего присутствия


Для начала необходимо настроить логирование соединений в тестируемой системе, на практике это, вероятно кто-то (одмин) уже сделал за вас, делается это следующим образом:

Логи Firewall и скрытие своего присутствия


После, убеждаемся, что файл логов создан и в него пишется информация:

Логи Firewall и скрытие своего присутствия


Теперь, когда у нас есть активная сессия meterpreter,

Логи Firewall и скрытие своего присутствия


на целевом хосте, необходимо повысить привилегии до системных, используя любую технику:

Логи Firewall и скрытие своего присутствия


Открываем shell на удаленном хосте и переходим в директорию с файлом логов:

Логи Firewall и скрытие своего присутствия


Видим тот самый файл логирования:

Логи Firewall и скрытие своего присутствия


Заглянем внутрь:

> type pfirewall.log

Логи Firewall и скрытие своего присутствия


Затем необходимо отключить файрволл, для того, чтобы мы могли его спокойно удалить:

> netsh firewall set opmode mode=disable


Логи Firewall и скрытие своего присутствия


Удаляем файл логов командой:

> del pfirewall.log

Логи Firewall и скрытие своего присутствия


Попытка прочесть его не увенчается успехом, файла более не существует.

Все, спасибо за внимание.
 
A

a113

А при проверке тем же одменом :D работоспособности брандмауэра не будет подозрительным то, что он не работает?
 
  • Нравится
Реакции: Vander
G

Gl@balWar

Так ведь владелец PC всё равно заметит что то не ладное,ибо логов не будет)
А логи всегда должны быть там. Получается мы мешаем админу узнать,кто реально сидел в системе....
 
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 290
Если, среди тех были и вы, и при этом хотите скрыть сей факт, то можно и потереть их.
 
F

Free

Member
18.03.2017
19
16
Данный файл необходимо переписать и произвести модификацию даты создания о открытия файла, для этого в meterpreter есть соответствующий функционал
 
  • Нравится
Реакции: Vander
F

Free

Member
18.03.2017
19
16
при получении метерпретер сессии можно
---почистить логи в windows c помощью
clearev --- Clear the event log on the target machine
--- произвести изменение изменение атрибутов файла
команда timestomp. Эта команда используется для изменения Modified-Accessed-Created-Entry (MACE) атрибутов файлов. Значениями атрибутов являются время и дата. Команда timestomp позволяет изменить эти значения у файла. Опции смотрим с флагом - h.
В лога авера необходимо подчистить лишь свои следы, изменить время последней модификации. Хотя это лишь небольшая часть сокрытия себя.
Вообще функционал метерпретера огромен в отношении пост эксплуатации системы, особенно написание сценариев на irb.
 
  • Нравится
Реакции: BuTaluK и Vander
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб