#SilkETW #Forensic and #Incident_Response on #ETW
آیا تا به حال در خصوص پتانسیل Event Tracing Windows برای شناسایی پیلودها یا Post Exploitation ها چیزی شنیده اید؟ ETW یک ردیاب رویدادها در سطح کرنل هستش که تمامی رخداد های یک برنامه رو ثبت و به عنوان Log ذخیره میکنه, این بدین معنیه که ما یک Real-Time Logger در اختیار داریم که میتونه در مبحث رهگیری لحظه ای دسترسی ها و پسا دسترسی ها به کمک یک BlueTeamer بیاد,

اما چطور میشود همچین استفاده ای از ETW داشت؟! تیم FuzzySecurity به سفارش شرکت FireEye یک ابزار در خصوص پالایش بر مبنای ETW طراحی نموده که بصورت عمومی در اختیار کاربران قرار گرفته است, نام این محصول SilkETW هستش, که در سال 2019 در کنفرانس بلکهت آمریکا ازش رو نمایی شد,

از ویژگی های این محصول میتوان به سازگاری اون با Signature های گرفته شده از Yara اشاره کرد که همونطور که در تصویر پست میبینید تونسته با استفاده از Signature مربوط به ابزار Seatbelt که یک PostEXP جامع برای RedTeamer هاست, اون رو شناسایی و بصورت Real-Time رهگیری کنه, برای اطلاعات بیشتر میتونید به این مقاله مراجعه کنید.

Demo 1
Demo 2
@Unk9vvN