Tutorials

Guida all'eliminazione dei log di Windows con Meterpreter

Durante un'operazione di post-exploitation su un sistema Windows compromesso, uno degli obiettivi chiave di un attaccante o di un penetration tester in ambiente controllato può essere la copertura del

#exploitation#windows#metasploit

Guida all'eliminazione dei log di Windows con Meterpreter

Introduzione

Durante un'operazione di post-exploitation su un sistema Windows compromesso, uno degli obiettivi chiave di un attaccante o di un penetration tester in ambiente controllato può essere la copertura delle tracce. Windows cataloga tutte le azioni e gli eventi di sistema tramite l'Event Log, rendendoli facilmente accessibili tramite l'Event Viewer e strumenti di analisi forense. Questa guida approfondisce le tecniche per eliminare i log con Meterpreter, discutendone le implicazioni, i rischi e gli approcci alternativi.

Tipi di log di Windows

Windows conserva vari tipi di log, tra cui:

  • Application Logs: Registrano eventi relativi ad applicazioni e programmi (es. avvii, crash, errori).
  • System Logs: Documentano eventi di sistema come avvii, arresti, aggiornamenti, problemi hardware.
  • Security Logs: Archivia eventi di sicurezza, inclusi logon/logoff, modifiche alle password, errori di autenticazione.

Questi log sono fondamentali per:

  • Analisi forense post-incidente.
  • Monitoraggio continuo della sicurezza.
  • Audit di conformità.

Comando base: clearev

Meterpreter offre il comando:

bash
clearev

Questo comando:

  • Cancella tutti i principali log di Windows: Application, System e Security.
  • Richiede privilegi SYSTEM o Administrator.
  • È efficace ma potenzialmente rumoroso: la cancellazione totale dei log può essa stessa essere considerata un'indicazione di compromissione.

Utilizzo pratico

bash
meterpreter > clearev
[] Wiping Event Logs...
[] Event Logs Cleared.

Rischi e considerazioni

  • Attività evidente: la cancellazione completa dei log è visibile e può far scattare allarmi.
  • Perdita di dati utili: potresti eliminare anche log utili per il tuo stesso debug o analisi.
  • Monitoraggio SIEM: molti sistemi di monitoraggio avanzati salvano copie remote dei log prima che vengano cancellati.

Tecniche alternative e avanzate

1. Cancellazione selettiva tramite PowerShell (post-exploitation scriptato)

In alternativa, puoi puntare alla cancellazione selettiva:

powershell
wevtutil cl Security
wevtutil cl System
wevtutil cl Application

2. Sovrascrittura selettiva

Più sofisticato e stealth, puoi scrivere eventi benigni per sovrascrivere o "annegare" le attività sospette.

3. Redirezione dei log

Alcune tecniche avanzate consistono nel modificare il percorso di salvataggio dei log temporaneamente, per deviarli o isolarli.

4. Disabilitazione temporanea dei log

Per esempio:

powershell
Stop-Service -Name EventLog
Attenzione: questo lascerà evidenze nei log di sistema quando riattivato.