Как удалить следы активности (логи) при проведении тестирования на проникновение. Часть 2

Spread the love

ВНИМАНИЕ!!!! АВТОР ДАННОЙ СТАТЬИ НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ДЕЙСТВИЯ ОТ ЕЕ ПРОЧТЕНИЯ. ВСЕ МАТЕРИАЛЫ ПРЕДОСТАВЛЕНЫ В ИСКЛЮЧИТЕЛЬНО ОБРАЗОВАТЕЛЬНЫХ ЦЕЛЯХ!

PowerShell – это очень мощный инстурмент командной строки, который дает системному администратору большой просмтор для администрирования систем, для выполнения и автоматизации операций и задач в операционных системах Windows, MacOS и Linux.

Для начала щелкните значок Windows, который является значком запуска в нижнем левом углу рабочего стола, и введите powershell. Появится приложение Windows PowerShell, или в уже запущенной командной строке введите “powershell”

Убедитесь, что вы запускаете Windows PowerShell от имени администратора. Запуск программы или приложения с правами администратора снимет любые ограничения, с которыми может столкнуться обычный пользователь. Эти ограничения будут включать и привилегии безопасности. 

Теперь рассмотрим несколько комманд для очистки журналов. 

1 .Для очистки всех журналов событий: 

wevtutil el | Foreach-Object {wevtutil cl “$_”} 

После выполнения команды журналы стираются, как показано в средстве просмотра событий:

2. Для очистки определенных журналов с компьютера

Команда Clear-EventLog позволяет администратору очистить / стереть все сообщения журнала <LogName>: из определенной категории событий. 

Синтаксис для использования этой команды: 

Clear-EventLog <LogName> 

Использование параметра Get-Help, за которым следует командлет Clear-EventLog, предоставит вам дополнительные параметры:

Далее рассмотрим использование командной строки для очистки журналов. 

Использование командной строки для очистки журналов в Windows 

Теперь рассмотрим использование командной строки для очистки журналов в ОС Windows: 

  1. Очистка отдельных журналов
  2. Ранее мы использовали команду wevtutil el в командной строке Windows для просмотра списка типов / категорий журналов. Мы можем использовать wevtutil cl, за которым следует конкретный журнал, чтобы стереть / очистить записи в категории журнала:

Кроме того,можно использовать синтаксис clear-log вместо cl:

2. Очистка всех журналов одним скриптом

Когда мы запустили команду wevtutil el, мы увидели длинный список категорий журналов событий. Однако очистка каждой категории занимает довольно много времени, поэтому используйте следующий скрипт для очистки каждой категории при выполнении команды 

for / F "tokens = *"% 1 в ('wevtutil.exe el') DO wevtutil.exe cl "% 1" 

И чтобы не получить результат “отказано в доступе”, cmd также следует запускать с правами администратора

Использование Meterpreter для очистки журналов Windows 

В cоставе the Metasploit framework существует очень продвинутая и динамически расширяемая полезная нагрузка, известная как Meterpreter. Использование этой утилиты на этапе тестирования на проникновение позволит вам выполнять полезные нагрузки stager в целевой системе, которые могут создавать соеднинение или даже обратную оболочку между целью и машиной атакующего.

Metasploit – фреймворк, созданный Rapid7 (www.rapid7.com). Он позволяет тестировщикам на проникновение собирать информацию о цели, обнаруживать уязвимости, создавать и доставлять полезные нагрузки на атакуюемый хост, а также создавать бэкдоры. Отличный набор инструментов для тестирования на проникновение для обнаружения и использования уязвимостей.

Meterpreter разработан, чтобы быть скрытым, мощным и динамически расширяемым. После успешного закрепления в системы ве можете использовать команду clearev для очистки журналов приложений, системы и безопасности:

Как видно на предыдущем скриншоте, Meterpreter очищает журналы каждой категории в целевой системе. Также указано количество очищенных записей.

В этой статье мы рассмотрелли способы скрытия активности во время тестирвоания на проникновение, моделируя атаки на целевую систему или сеть. Мы обсудили различные типы журналов и их расположение. Кроме того, мы рассмотрели несколько сценариев, в которых мы использовали различные методы для очистки журналов в операционных системах Windows.

Добавить комментарий

WP2Social Auto Publish Powered By : XYZScripts.com