غیرفعال کردن دائمی Auditing در ویندوز
سلام به همه عزیزان توسینسویی !! خیلی گشتم تو اینترنت ولی چیزی که مد نظرم بود رو پیدا نکردم ، توی اسلاید های CEH عنوان شده که برای غیرفعال کردن Auditing در سیستم می تونید براحتی با دستور auditpol.exe و سویچ disable همه چیز رو غیرفعال کنید ! من کلی تست کردم همش Fake بودن دستوراتی که توی راهنماهای Ec-Council زده بودن کار نکردن ! ویندوز من 10 هست ! با دسترسی Administrator قسمت Command Prompt رو باز کردم و دستورات زیر رو تست کردم و نتیجه ای نگرفتم ، ممنون میشم دوستانی که در این حوزه تخصص دارند بهم کمک کنن : به زبان ساده دستوری میخام بزنم که به کلی Log برداری ویندوز رو غیرفعال کنه غیر از دستورات زیر :
Auditpol /remove /allusers auditpol /clear auditpol /ipaddress /disable
هیچ ایده ای ندارم چرا کار نمی کنه ! اگر راهنمایی کنید بی نهایت سپاسگزارم
10 پاسخ
اگه فرض براین بگیریم که تارگت یه کاربر خونگی باشه و بعد از نفوذ این رو مدنظرگرفت که مجبورش کنیم سیستم عامل عوض کنه از اول بالا بیارش بازم میشه یه امیدی داشت و گرنه اگه ملاک سازمانی باشه که دیگه اون اصلا باید هم Internal و External درنظرگرفت که اگه Internal و سمت کاربرا باشه تا یه حمله درست و حسابی طراحی کرد خیلی بهتر میشه امید به موفقیت آمیز بودنش داشت.External هم که میشه ولی سختی کار بالاتر میره اون موقع
لاگ هارو حذف کردم و این خروجی کار شد ولی اگه سناریو جوری بود که معلوم بشه هدف از هک سیستم چیه آیا راه حل دیگه ای هم غیر ازاون هست یا نه اگر نبود فقط یک بار گرفتن دسترسی و انجام دادن کار موردنظر کافیه یا نیاز به دسترسی دائم هست اون موقع بنظر بهتر بشه موضوع رو جمعش کرد و بنظر بهتره به جای حذف کردن لاگ ها تا اینکه بعدا اگه یه شخصی اومد دید که انگار لاگ ها حذف شدن یا دستکاری شدن چون طرف که نمیاد لاگ های خودش رو همینطور پاک کنه و.... لاگ های جدید درست کرد تا پروسه تحلیل خیلی خیلی طولانی تر بشه و یا به فکر راه های anti-forensic بود یا پروسه رو migrate کرد روی پروسه هایی مثل explorer یا lsass یا پروسه های دیگه (که این کار هم بگیر نگیر داره و راه مطمئنی نیست توی آخرین ورژن ) که یکم بهتر بشه مخفی سازی کرد
که وقتی هم لاگ ها حذف میشن خوده لاگ حذف شدن هم میمونه و هربار هم که حذفش کرد دوباره لاگش میوفته پس بنظر بهتره لاگ هارو دستکاری نکرد و فقط زیادشون کرد و به فکر راه حل های دیگه بود چون حذف کردن و اینجور راه حل ها دیگه زیاد جوابگو حملات نیستن
البته این از سمت Covering Tracks هست چون مبحث خاصی مدنظرمونه ولی خو حملات موفق الانی دیگه معمولا سمت باج افزار(که بازم بسته به سناریو داره تا بشه یه طراحی حمله درست و حسابی انجام داد ) و اینجور داستان ها هست که اونم برا موفقیت آمیز بودنش باید کامل سناریو رو بررسی کرد تا بشه یه جواب درستی داد
سلام مهندس نصیری عزیز ، دستور زیر رو اجرا کنید :
Auditpol /set /category:* /Success:disable /failure:disable
اما به شخصه خودم جواب نگرفتم :)
سلام مهندس
این دستورات رو تست کنید
اجرا میشند اما انگار نتیجه ای نداره
واقعن هیچکدوم کار نمیکنه . پیام میده انجام شده ولی کار نکرده
Auditpol /set /category:"Account Logon" /Success:disable /failure:disable Auditpol /set /category:"Logon/Logoff" /Success:disable /failure:disable Auditpol /set /category:"Account Management" /Success:disable /failure:disable Auditpol /set /category:"DS Access" /Success:disable /failure:disable Auditpol /set /category:"Object Access" /Success:disable /failure:disable Auditpol /set /category:"policy change" /Success:disable /failure:disable Auditpol /set /category:"Privilege use" /Success:disable /failure:disable Auditpol /set /category:"System" /Success:disable /failure:disable
حامد جان کل این دستورات رو تست کردم ، اتفاقات همشون میگن Successfully Completed و البته بعد از اون clear میگه reboot هم بکن و تست کن !! جالبه برام انجام میدم ! یه لحظه حذف هم می کنه محتویات رو ولی وقتی میام بالا وارد Event Viewer میشم دوباره روز از نو روزی از نو ! یعنی عملا این دستور فقط جنبه نمایشی داره ! موردی که مهندس احمد نصیر گفتن رو هم زدم ! اون هم همش موفقیت آمیز میده ! نتیجه عملا هیچ ! نمیدونم چیه ! احتمالا این جزو مواردی هست که مایکروسافت برای ویندوزهای تا 2008 ارائه کرده و باید به روز رسانی کنه تو نسخه قدیمی کار می کرد ! تو XP و Vista و .. ولی الان تو 10 نه ...
دقیقا نکته مسخره اینجاست که من میخام کل لاگها پاک بشه حتی لاگ حذف لاگ ! بعد فعالش کنم ! ولی این با ابزار مسخره ای که EC-Council معرفی کرد و وقت من رو بیخود گرفت واقعا نشدنیه !! به قول شما باید سناریو رو تغییر داد تا نتیجه بده وگرنه قطعا نمیخایم دائمی غیرفعال کنیم .
البته یه چیز رو هم بگم !! مهمترین دستوری که ظاهرا کار می کنه این هست که بچه ها اشاره کردین :
Auditpol /remove /allusers /y
ولی نکته اینجاست که یک :::: لاگها رو عملا پاک نمی کنه و دستی باید پاک کنید ::: در لحظه ای که آنلاین هستید چیزی اضافه نمیشه ::: با یک Reboot مجددا لاگ برداری ها شروع میشه !!
دقیقا.توی داکیومنت مایکروسافت نوشته شده برای 7 و 2008 R2 هستش
تغییرات این شکلی زیاد دیدم (hashdump دیگه توی ویندوز 10 کارنمیکرد باید smart_hashdump استفاده کرد) ولی این یکی رو الان که گفتین دیدم
پس فک کنم بشه یه جوری نتیجه گرفت بعد از نفوذ ابزاری اپلود کرد و بعدش چیزایی که مدنظر هست رو انجام داد
دقیقا نکته اینجاست که این Document مایکروسافت که از صبح پدر من رو درآورده یه مثال عملی نزده ! یعنی میرم تست میگیرم همش میگه Syntax Error آخرشم میگه موفقیت آمیز و چرت و پرت !! من فکر کنم دفعه دهم و یا بیشتر هست که از این Manual های مایکروسافت ضربه خوردم ! خوب الان میگه میشه تو ویندوز 7 و بالاتر ! الان من ویندوز 10 دارم و میزنم و نتیجه نمیده ! تست بگیرید دیگه ! یعنی تا آخرش نریم به کلی فایل اجرایی و لاگ فایل رو حذف کنیم نمیشه کاریش کرد ! باگ هست از نظر من ... به نظر من یه تداخلی هست بین Event Viewer و Auditpol و البته Group Policy که یکیپارچگی ندارن تو این قسمت و یه طرف میگه خراب کن و یه طرف میگه نه !! فرض کن الان من میخام Covering Tracks کنم ! خوب با چه دستوری کل لاگهای سیستم رو حذف کنم و لاگ برداری رو کلا غیرفعال کنم حین کار یا بعد از کار ؟ موندم واقعا با این کارهای مایکروسافت