En este pequeño post vamos a hablar de la herramienta Wevtutil. Una herramienta para gestionar los eventos del sistema.
El truco más sencillo para entender la herramienta es, aparte de leer su descripción, usarla.
Imagina el caso de un incident response que busca persistencia en un ataque mediante la adición de un usuario al sistema, lo típico que haces cuando consigues vulnerar un sistema, garantizar la persistencia.
Con este sencillo comando podemos listar todos los eventos relativos a la creación de usuarios en el sistema.
wevtutil qe security /q:”*[System[(EventID=4720)]]” /c:5 /f:text
Como se puede apreciar, la ejecución del comando tiene un montón de parámetros que podemos ajustar para nuestras necesidades.
La lista de eventos que podemos buscar es infinita, pero los normales en estos casos son:
4720.- usuario creado
4722.- usuario habilitado
4732.- usuario añadido a grupo.
7035,. servicio parado.
Ahora bien, vamos a ponernos en el caso de una auditoria de seguridad, en el que "los malos" somos nosotros. Sería interesante borrar nuestras huellas en forma de eventos.
Los comandos que nos pueden ser útiles son:
wevtutil el. Lista todas las categorías de eventos.
wevtutil cl <LogName>. Borra todos los eventos en la categoría indicada.
wevtutil el | Foreach-Object {wevtutil cl "$_"}.- Borra todos los eventos en todas las categorias.
Recuerda que para poder borrar eventos debes tener permisos de administrador, por lo que espero que en tu intrusión al sistema hayas conseguido el "poder".
Gracias por leerme, espero que os guste.