Windows Server 2008 Brute Force Saldırısı ve Log Kayıtları

Olay : Windows Server 2008 yüklü sunucuya local’de “Hydra” aracı ile brute force saldırısı yapıyoruz, sonrasında serverın (Administrator) şifresini bularak “Uzak Masaüstü Bağlantısı” ile sunucuya bağlanıyoruz. Tüm bu aşamalarda düşen event log kayıtlarını inceliyoruz.

Dikkat : Bu senaryodan önceWindows Event Log Kayıtlarıbaşlıklı yazıyı okumanız faydalı olacaktır. Bu yazı içeriğinde sadece örnek saldırı senaryosu ve düşen log kayıtları özetle gösterilmiştir.

1. Adım: Hydra paketini ubuntu dağıtımına kurduktan brute force saldırısına başlıyoruz. Saldırı neticesinde bir takım şifreler denendikten sonra doğru şifre bulunuyor.

2. Adım: Başarısız kullanıcı girişi denemeleri gördüğünüz gibi event log kayıtlarına yansıyor.

3. Adım: Başarısız kullanıcı girişi denemesinden sonra, aşağıda belirtilen mavi kısım “Hydra” yazılımının deneme yanılma yaparak şifreyi bulduğu kısım, sonrasında 15 saniye sonra gelen logda ise Uzak Masaüstü bağlantısı (RDP) gerçekleştirilerek kullanıcı adı ve şifre ile oturum açılmıştır.

Yorumlama: Başlangıçta gelen 4625 Event ID ler bize başarılı bir şekilde oturum açılamadığını göstermektedir. Çok kısa bir sürede bu kadar şifre denenmiş olması bir uygulama/program vasıtasıyla brute force (şifre saldırısı) yapıldığını yönelik bir fikir oluşturmalıdır.

Sonrasında gelen;

  • 4776 Event ID numarası; DC’nin bir hesap için kimlik bilgilerini doğrulamayı denediğini,
  • 4648 kimlik bilgileri kullanılarak bir oturum açma girişiminde bulunulduğunu,
  • 4624 hesabın başarılı bir şekilde açıldığını,
  • 4672 Admin Hesabı (Oturum açmaya ayrılan özel ayrıcalıklar)
  • 4634 ise bir hesabın kapatıldığını bildiriyor.

Site Footer