🥇Използване на PowerShell за събиране на информация за инцидент

PowerShell е доста често срещан инструмент за автоматизация, който често се използва както от разработчици на зловреден софтуер, така и от специалисти по информационна сигурност.
Тази статия ще разгледа използването на PowerShell за отдалечено събиране на данни от крайни устройства при реагиране на инциденти със сигурността на информацията. За да направите това, трябва да напишете скрипт, който ще се изпълнява на крайното устройство, след което ще има подробно описание на този скрипт.

function CSIRT{
param($path)
if ($psversiontable.psversion.major -ge 5)
	{
	$date = Get-Date -Format dd.MM.yyyy_hh_mm
	$Computer = $env:COMPUTERNAME
	New-Item -Path $path$computer$date -ItemType 'Directory' -Force | Out-Null
	$path = "$path$computer$date"

	$process = get-ciminstance -classname win32_process | Select-Object creationdate, processname,
	processid, commandline, parentprocessid

	$netTCP = Get-NetTCPConnection | select-object creationtime, localaddress,
	localport, remoteaddress, remoteport, owningprocess, state
	
	$netUDP = Get-NetUDPEndpoint | select-object creationtime, localaddress,
	localport, remoteaddress, remoteport, owningprocess, state

	$task = get-ScheduledTask | Select-Object author, actions, triggers, state, description, taskname|
	where author -notlike '*Майкрософт*' | where author -ne $null |
	where author -notlike '*@%systemroot%*' | where author -notlike '*microsoft*'

	$job = Get-ScheduledJob

	$ADS =  get-item * -stream * | where stream -ne ':$Data'

	$user = quser

	$runUser = Get-ItemProperty "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"

	$runMachine =  Get-ItemProperty "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"

	$array = $process, $netTCP, $netUDP, $task, $user, $runUser, $runMachine, $job, $ADS
	$arrayName = "Processes", "TCPConnect", "UDPConnect", "TaskScheduled", "Users", "RunUser", "RunMachine",
	"ScheduledJob", "AlternativeDataStream"


	for ($w = 0; $w -lt $array.count; $w++){
		$name = $arrayName[$w]
		$array[$w] >> $path$name.txt
		}

	}

}

За да започнете, създайте функция CSIRT разширение, който ще приеме аргумент - пътя за запазване на получените данни. Поради факта, че повечето командлети работят в Powershell v5, е направена проверка на версията на PowerShell за правилна работа.

function CSIRT{
		
param($path)# при запуске скрипта необходимо указать директорию для сохранения
if ($psversiontable.psversion.major -ge 5)

За по-лесна навигация в създадените файлове се инициализират две променливи: $date и $Computer, на които ще бъде присвоено името на компютъра и текущата дата.

$date = Get-Date -Format dd.MM.yyyy_hh_mm
$Computer = $env:COMPUTERNAME
New-Item -Path $path$computer$date –ItemType 'Directory' -Force | Out-Null 
$path = "$path$computer$date"

Получаваме списъка с изпълнявани процеси от името на текущия потребител, както следва: създайте променливата $process, като й присвоите cmdlet get-ciminstance с класа win32_process. С помощта на cmdlet Select-Object можете да добавите допълнителни изходни параметри, в нашия случай това ще бъдат parentprocessid (идентификатор на родителски процес на PPID), дата на създаване (дата на създаване на процеса), обработен (идентификатор на процес PID), име на процеса (име на процес), команден ред (команда за стартиране).

$process = get-ciminstance -classname win32_process | Select-Object creationdate, processname, processid, commandline, parentprocessid

За да получите списък на всички TCP и UDP връзки, създайте променливите $netTCP и $netUDP, като им присвоите съответно кратки команди Get-NetTCPConnection и Get-NetTCPConnection.

$netTCP = Get-NetTCPConnection | select-object creationtime, localaddress, localport, remoteaddress, remoteport, owningprocess, state

$netUDP = Get-NetUDPEndpoint | select-object creationtime, localaddress, localport, remoteaddress, remoteport, owningprocess, state

Ще бъде важно да знаете списъка с планирани задачи и задачи. За да направим това, използваме кратки команди get-ScheduledTask и Get-ScheduledJob. Нека им присвоим променливите $task и $job, защото Първоначално има много планирани задачи в системата, след което, за да идентифицирате злонамерена дейност, си струва да филтрирате законните планирани задачи. Cmdlet Select-Object ще ни помогне с това.

$task = get-ScheduledTask | Select-Object author, actions, triggers, state, description, taskname| where author -notlike '*Майкрософт*' | where author -ne $null | where author -notlike '*@%systemroot%*' | where author -notlike '*microsoft*' # $task исключает авторов, содержащих “Майкрософт”, “Microsoft”, “*@%systemroot%*”, а также «пустых» авторов
$job = Get-ScheduledJob

Във файловата система NTFS има такова нещо като алтернативни потоци от данни (Alternate Data Streams, ADS). Това означава, че файл в NTFS може да бъде допълнително свързан с множество потоци от данни с произволен размер. С ADS можете да скриете данни, които няма да бъдат видими чрез стандартни системни проверки. Това може да инжектира зловреден код и/или да скрие данни.

За да покажем алтернативни потоци от данни в PowerShell, ще използваме cmdlet get-item и вградения инструмент за потоци на Windows със символа *, за да видите всички възможни потоци, за това ще създадем променливата $ADS.

$ADS = get-item * -stream * | where stream –ne ':$Data'

Ще бъде полезно да знаете списъка с потребители, влезли в системата, за това ще създадем променлива $user и ще присвоим изпълнението на програмата quser към нея.

$user = quser

За да се закрепят в системата, нападателите могат да направят промени в автоматичното стартиране. Можете да използвате cmdlet Get-ItemProperty, за да видите елементите в автоматично пускане.
Нека създадем две променливи: $runUser - за преглед на автоматичното зареждане от името на потребителя и $runMachine - за преглед на автоматичното зареждане от името на компютъра.

$runUser = Get-ItemProperty 
"HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
$runMachine = Get-ItemProperty 
"HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"

За да може цялата информация да бъде записана в различни файлове, създаваме масив с променливи и масив с имена на файлове.


$array = $process, $netTCP, $netUDP, $task, $user, $runUser, $runMachine, $job, $ADS
$arrayName = "Processes", "TCPConnect", "UDPConnect" "TaskScheduled", "Users", "RunUser", "RunMachine",
"ScheduledJob", "Alternative Data Stream"

И с помощта на for цикъл, получените данни ще бъдат записани във файлове.

for ($w = 0; $w -lt $array.count; $w++){
	$name = $arrayName[$w]
	$array[$w] >> $path$name.txt

След изпълнение на скрипта ще бъдат създадени 9 текстови файла, съдържащи необходимата информация.

Днес професионалистите по киберсигурност могат да използват PowerShell, за да обогатят информацията, която им е необходима за решаване на различни задачи в тяхната работа. Като добавите скрипт за автоматично зареждане, можете да получите някаква информация без дъмпинг, изображения и т.н.

Източник: www.habr.com

Използване на PowerShell за събиране на информация за инциденти

Добавяне на нов коментар

Използване на PowerShell за събиране на информация за инциденти

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар