Wevtutil.exe, mint LOLBAS technika
A LOLBAS (Living Off the Land Binaries and Scripts) technikák a támadók egyik leghatékonyabb stratégiájává váltak. Ezek a módszerek a legitim, előre telepített Windows-eszközökre támaszkodnak a rosszindulatú tevékenységek végrehajtásához, gyakran észrevétlenül átcsúszva a biztonsági ellenőrzéseken. A Denwp Research blogbejegyzésében közelebbről megvizsgálja a wevtutil.exe, a Windows eseménynaplók kezelésére létrehozott segédprogram egy kevésbé ismert felhasználási módját, és azt, hogy hogyan lehet hatékony LOLBAS eszközként kihasználni.
A Wevtutil.exe a Windows által biztosított parancssori eszköz az eseménynaplók lekérdezésére, exportálására és kezelésére használható. A rendszergazdák általában hibaelhárítás vagy ellenőrzés céljából használják a naplók összegyűjtésére és kezelésére. Rendeltetése ellenére a wevtutil.exe funkcióit rosszindulatú kibertevékenységekre is fel lehet használni.
A wevtutil.exe főbb jellemzői a következők:
– Eseménynaplók exportálása XML formátumba.
– Bizonyos vagy az összes eseménynapló törlése.
– Eseménynaplók lekérdezése meghatározott kritériumok alapján.
A Wevtutil.exe kihasználható LOLBAS-kontextusban az eseménynaplók törléséhez, lekérdezéséhez vagy exportálásához, ami segít a támadóknak elkerülni a felismerést és kiszivárogtatni adatokat . A Windows rendszereken való natív jelenléte a post-exploitation tevékenységek lopakodó és hatékony eszközévé teszi. A támadók a wevtutil cl segítségével törölhetik az összes naplót vagy szelektíven törölhetnek bizonyos naplókat. Bár a naplótisztítás nem új taktika, a kevésbé elterjedt segédprogramok használata elkerülheti a hagyományos észlelési mechanizmusokat, amelyek elsősorban a széles körben használt eszközökre, például a PowerShellre összpontosítanak.
