今回は、ターゲット端末のログ削除を行っていきます。
ログ削除の目的
これまでターゲット端末に攻撃を行ってきましたが、ターゲット端末にはそれらの操作ログが残っているため、簡単に追跡され攻撃者が特定されてしまいます。
攻撃の証跡を残さないためには、ログ削除もしくはログの改ざんが必要になります。
イベントログ
Windows の場合はイベントログとしてシステムログが記録されており、イベントビューアーで確認することが可能です。
本当に攻撃の証跡が残っているか確認するため、攻撃の証跡と思われるログを探します。
それらしきキーワード(permission や evil 、vbs 等)で検索しましたが、ヒットすることはなく、キーワード検索によって見つけることはできませんでした。
擬似攻撃を行った付近の日時に出力されたログも確認しましたが、現時点の私の知識ではログ内容から攻撃の証跡と判断することはできませんでした。
そのため、アナログな方法ではありますがもう一度攻撃を行いイベントログが生成されるか1つ1つ確認しました。
結果「getsystem」を実行したときに、以下のログが出力されることがわかりました。
このログには cmd.exe で操作したといった説明があり、Windows7 側ではコマンドプロンプトを操作していないためこういった内容から攻撃の証跡と判別することができそうです。
clearev
meterpreter には「clearev」というログ削除のコマンドが用意されており、以下3つのイベントログを削除することができます。
・Application
・Security
・System
上記ログを削除すれば先程確認したイベントログも消去されるため、攻撃の証跡は確認しづらくなると言えます。
なお、「clearev」はSYSTEM権限で実行する必要があるため、以下の記事で書いた方法で権限昇格を行ってください。
実行すると、以下のように3種のログが削除された旨のメッセージが出力されます。
meterpreter > clearev
[*] Wiping 2983 records from Application...
[*] Wiping 8542 records from System...
[*] Wiping 5546 records from Security...
meterpreter > 実際に削除されているのか、Windows 7 側で確認します。
すると以下のように数が0になっており(一部削除後に数件生成されていますが)、ログの削除に成功していることがわかります。「getsystem」実行時に出力されるログも削除されていました。
他アプローチによるログ削除
「clearev」の他のアプローチとして、「ハッキングラボのつくりかた」では以下2つの方法が紹介されていました。
・ClearLogs ツールの使用
・del コマンドの使用
ClearLogs はWindowsのイベントログを削除するツールです。
以下にダウンロードリンクを貼っておきます。(DLは自己責任でお願いします)
del コマンドは、Windows 側のファイル削除コマンドです。
そのため、meterpreter プロンプトで「shell」を実行後に行ってください。
delコマンドについて記載されているサイトも、併せて案内します。
今回は以上です。
くどり
この記事は「ハッキング・ラボのつくりかた 第4章 」をベースに作成しています。購入リンクは以下です。
※Amazonアソシエイトを使用しています。
コメント