Show Menu

Windows Event ID Cheat Sheet by

Vaka Yönetiminde Windows Event ID’lerin önemi
event     olay     kimlik

Windows Olay Kimlikleri

Event ID
Açıklama
4624
Başarılı Login
4625
Başarısız Login
4672
Admin Hesabı Logini
4634,4647
Başarılı Logoff
4771
Etki alanında ön kimlik doğrulama başarısız oldu
4768
Kerberos Ticket istemi
4776
Etki alanında başarılı ya da başarısız login
7034
Servis beklen­medik bir şekilde çöktü
7035
Servis, başlatma veya durdurma komutu gönderdi
7036
Servis durdu veya başladı
7040
Servis başlangıç tipi değişt­irildi (Başla­ngıçta, elle vs.)
5140
Ağ paylaşımı planlandı
4778
RDP oturum isteği
4779
RDP oturumu kapandı
Farklı ID’leri birbir­­le­riyle ilişki­­le­n­d­irmek de önemlidir. Örneğin 4624 akabinde görülen 4634/4647 ID’leri tamaml­­anmış bir oturum fikri verebilir. Çok fazla 4625 ID’si görmek bir sözlük saldır­­ısının ya da bir zararlı yazılımın işareti olabilir.

Yerel Login

4624
DC'ye bağlı değil (Yerel)
4625
DC'ye bağlı değil (Yerel)
4771
Etki Alanı üzerinde
4768
Etki Alanı üzerinde
4776
Etki Alanı üzerinde
4624 ve 4625 in 4776 ID lerinin birbir­­inden farkları net olarak ortaya konmal­­ıdır. Özellikle 4624 ve 4625 lokal makine üzerinde alınan ve DC’ye erişil­­em­e­d­iğinde üretilen ID’lere örnektir. Makine DC’ye bağlıysa ise 4771, 4768 ve 4776 ID’leri üretilir.
 

Windows Oturum Türleri

2
Yerel login (Örn: Klavye ile)
3
Network Logini
4
Batch Login- zamanl­anmış görevler için kullanılır
5
Windows servis login – (Görün­ür/­Int­eraktif olmaya­caktır)
7
Kilit ekranını açmak/­kap­atmak için kimlik bilgileri kullanıldı
8
Ağ üzerinden kimlik bilgileri clear text olarak gönderildi
9
Şu anki oturumu açan haricinde ”run as” komutuyla (Yönetici vs. olarak çalıştır ) yeni kimlik bilgileri kullanıldı
10
RDP (Uzak Masaüstü)
11
Login kimliği cachten getirildi
12
Cachten RDP yapıldı
13
Cachten kilit açıldı (oturum zaten açık)
Önemli bir olay örneğin 7 numaralı login tipi ile 11 numaralı login tipinin farkla­rıdır. 7 numaralı login bilgileri DC’den eşleşt­iri­lirken, 11 nolu login tipi makine DC’ye erişil­eme­diğinde görülür. Windows o makineye oturum açmayı başaran son 10 kimlik bilgil­erini (kullanıcı adı ve şifre) hash olarak saklar. Buradaki son 10 kimlik bilgis­inden kasıt birbir­inden farklı olan değil, aynısı veya farklısı da olsa son 10 oturum açılmış kimlik bilgil­eridir.

Zamanl­anmış Görevler

106
Görev zamanlandı
200
Görev başlatıldı
201
Görev tamamlandı
141
Görev silindi
Windows içerisinde “zaman­lanmış görev” logları bilgis­aya­rımızın ele geçirilip geçiri­lmediği hususunda bize fikir verebilir. Örneğin bir servisin günün belli saatle­rinde oturum açılması için görev zamanl­aması gerçek­leş­tirmesi şüpheli bir hareke­ttir.
 

Malware Hareke­tleri

1
Zararlı; önce sızılmış sistem üzerinden ağa yayılmak için 4624 olay kimliğini 3 nolu oturum türüyle kullan­aca­ktır. Burada zamanı bi kenara not edin.
2
O zamana yakın diğer sistem­lerde 4672 ile oturum açılıp açılma­dığına bakın.
3
Bulunursa o sistem üzerinde artık zararlı kod yönetici hakları ile çalışt­ığından kendisini diğer sistemlere bulaşt­ırmak için 5140 olay kimliğini kullanarak ağ paylaşımı planla­yac­aktır. Sistemdeki bu çatlaktan zararlının bağlantı sağlanmış olduğu C&C sunucu­sunun IP bilgileri gibi kritik bilgilere dahi ulaşıl­abilir.
4
Sistemdeki bu çatlak ile çalışt­ıra­bilir kodlar ağı ele geçire­cektir.
5
Olay kimlik­lerinde zamanl­anan, başlat­ılan, tamaml­anan, silinen görevler fikir vermel­idir. İş tamaml­and­ıktan sonra kendisini ve logları silmek isteye­cektir. Zararlı dosyanın ismi ile birlikte zamanl­anmış 200 kodlu bir log silme işlemi varsa önemlidir.
6
Logları da temizleyen zararlı son olarak kendi oturumunu 4634 olay kimliği ile kapata­caktır.

RDP Hareke­tleri

4778 nolu RDP oturumu talebi ile bir uzak masaüstü oturumu isteği gelir. Ancak bu başlamış bir oturum olarak yoruml­anm­ama­lıdır. Burada görülen IP adres ve sistem adı gibi bilgiler işe yaraya­bil­ir.4778 in akabinde görülen 4624 olay kodu ve 10 nolu oturum tipi oturumun artık RDP ile açıldığı kesin bilgisini verece­ktir.Bu kısımdan sonra bir önceki bölümün 3. Maddes­indeki ağ paylaşımı ya da 5. Maddes­indeki görev zamanlama şeklinde bir senaryo ile karşıl­aşı­lab­ili­r.O­turumun 4634/4647 kodlar­ından sonra 4779 RDP’in sonlan­dır­ıld­ığında dair bir bilgi verece­ktir. Tek başına 4778 ve 4779 RDP istek ve kapanm­alarına aldanmamak gerekir. RDP oturumunun açıldığına emin olmak için mutlaka 4778-4­624..4­634­-4779 sıralaması ile görmek gerekir. 4778 ve 4779’un ayrınt­ılarına bakıla­bilir

Download the Windows Event ID Cheat Sheet

1 Page
//media.cheatography.com/storage/thumb/codeluu_windows-event-id.750.jpg

PDF (recommended)

Alternative Downloads

Share This Cheat Sheet!

 

Comments

No comments yet. Add yours below!

Add a Comment

Your Comment

Please enter your name.

    Please enter your email address

      Please enter your Comment.

          More Cheat Sheets by codeluu

          ASCII Karakter Tablosu (UTF-8 Unicode) Keyboard Shortcuts
          Http Response Kodları Cheat Sheet
          Güçlü Parola Oluşturma Cheat Sheet