A PowerShell egy meglehetősen gyakori automatizálási eszköz, amelyet gyakran használnak mind a rosszindulatú programok fejlesztői, mind az információbiztonsági szakemberek.
Ez a cikk azt a lehetőséget tárgyalja, hogy a PowerShell segítségével távolról gyűjtsön adatokat a végeszközökről az információbiztonsági incidensekre való reagálás során. Ehhez meg kell írnia egy szkriptet, amely futni fog a végeszközön, majd ennek a szkriptnek a részletes leírása lesz.
function CSIRT{
param($path)
if ($psversiontable.psversion.major -ge 5)
{
$date = Get-Date -Format dd.MM.yyyy_hh_mm
$Computer = $env:COMPUTERNAME
New-Item -Path $path$computer$date -ItemType 'Directory' -Force | Out-Null
$path = "$path$computer$date"
$process = get-ciminstance -classname win32_process | Select-Object creationdate, processname,
processid, commandline, parentprocessid
$netTCP = Get-NetTCPConnection | select-object creationtime, localaddress,
localport, remoteaddress, remoteport, owningprocess, state
$netUDP = Get-NetUDPEndpoint | select-object creationtime, localaddress,
localport, remoteaddress, remoteport, owningprocess, state
$task = get-ScheduledTask | Select-Object author, actions, triggers, state, description, taskname|
where author -notlike '*Майкрософт*' | where author -ne $null |
where author -notlike '*@%systemroot%*' | where author -notlike '*microsoft*'
$job = Get-ScheduledJob
$ADS = get-item * -stream * | where stream -ne ':$Data'
$user = quser
$runUser = Get-ItemProperty "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
$runMachine = Get-ItemProperty "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
$array = $process, $netTCP, $netUDP, $task, $user, $runUser, $runMachine, $job, $ADS
$arrayName = "Processes", "TCPConnect", "UDPConnect", "TaskScheduled", "Users", "RunUser", "RunMachine",
"ScheduledJob", "AlternativeDataStream"
for ($w = 0; $w -lt $array.count; $w++){
$name = $arrayName[$w]
$array[$w] >> $path$name.txt
}
}
}
A kezdéshez hozzon létre egy függvényt CSIRT bővítmény, amely egy argumentumot vesz fel - a kapott adatok mentésének elérési útja. Mivel a legtöbb parancsmag a Powershell v5-ben működik, a PowerShell verzió megfelelő működését ellenőriztük.
function CSIRT{
param($path)# при запуске скрипта необходимо указать директорию для сохранения
if ($psversiontable.psversion.major -ge 5)
A létrehozott fájlok közötti navigáció megkönnyítése érdekében két változó inicializálódik: $date és $Computer, amelyekhez a számítógép neve és az aktuális dátum kerül hozzárendelve.
$date = Get-Date -Format dd.MM.yyyy_hh_mm
$Computer = $env:COMPUTERNAME
New-Item -Path $path$computer$date –ItemType 'Directory' -Force | Out-Null
$path = "$path$computer$date"
Az aktuális felhasználó nevében futó folyamatok listáját a következőképpen kapjuk meg: hozzunk létre egy $process változót, hozzárendeljük a get-ciminstance parancsmagot a win32_process osztállyal. A Select-Object parancsmag segítségével további kimeneti paramétereket adhatunk hozzá, esetünkben ezek a következők lesznek: parentprocessid (szülő folyamatazonosító PPID), createdate (folyamat létrehozásának dátuma), feldolgozott (folyamatazonosító PID), folyamatnév (folyamat neve), parancssor ( parancs futtatása).
$process = get-ciminstance -classname win32_process | Select-Object creationdate, processname, processid, commandline, parentprocessid
Az összes TCP- és UDP-kapcsolatok listájának megtekintéséhez hozza létre a $netTCP és $netUDP változókat a Get-NetTCPConnection és a Get-NetTCPConnection parancsmagok hozzárendelésével.
$netTCP = Get-NetTCPConnection | select-object creationtime, localaddress, localport, remoteaddress, remoteport, owningprocess, state
$netUDP = Get-NetUDPEndpoint | select-object creationtime, localaddress, localport, remoteaddress, remoteport, owningprocess, state
Fontos lesz megismerni a tervezett feladatok és feladatok listáját. Ehhez a get-ScheduledTask és a Get-ScheduledJob parancsmagokat használjuk. Rendeljük hozzájuk a $task és a $job változókat, mert Kezdetben sok ütemezett feladat van a rendszerben, majd a rosszindulatú tevékenység azonosítása érdekében érdemes kiszűrni a jogos ütemezett feladatokat. Ebben segít nekünk a Select-Object parancsmag.
$task = get-ScheduledTask | Select-Object author, actions, triggers, state, description, taskname| where author -notlike '*Майкрософт*' | where author -ne $null | where author -notlike '*@%systemroot%*' | where author -notlike '*microsoft*' # $task исключает авторов, содержащих “Майкрософт”, “Microsoft”, “*@%systemroot%*”, а также «пустых» авторов
$job = Get-ScheduledJob
Az NTFS fájlrendszerben létezik olyan dolog, mint alternatív adatfolyamok (ADS). Ez azt jelenti, hogy egy NTFS-fájl opcionálisan több, tetszőleges méretű adatfolyamhoz társítható. Az ADS használatával elrejtheti azokat az adatokat, amelyek nem lennének láthatóak a szokásos rendszerellenőrzésekkel. Ez lehetővé teszi rosszindulatú kódok beszúrását és/vagy adatok elrejtését.
Az alternatív adatfolyamok PowerShellben való megjelenítéséhez a get-item parancsmagot és a beépített Windows stream eszközt használjuk * szimbólummal az összes lehetséges adatfolyam megtekintéséhez, ehhez létrehozzuk a $ADS változót.
$ADS = get-item * -stream * | where stream –ne ':$Data'
Hasznos lesz kideríteni a rendszerbe bejelentkezett felhasználók listáját, ehhez létrehozunk egy $user változót és hozzárendeljük a quser program végrehajtásához.
$user = quser
A támadók módosíthatják az automatikus futtatást, hogy megvegyék a lábukat a rendszerben. Az indítási objektumok megtekintéséhez használja a Get-ItemProperty parancsmagot.
Hozzon létre két változót: $runUser - az indítás megtekintése a felhasználó nevében és $runMachine - az indítás megtekintése a számítógép nevében.
$runUser = Get-ItemProperty
"HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
$runMachine = Get-ItemProperty
"HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
Annak érdekében, hogy minden információ más-más fájlba kerüljön, létrehozunk egy változókat és egy fájlneveket tartalmazó tömböt.
$array = $process, $netTCP, $netUDP, $task, $user, $runUser, $runMachine, $job, $ADS
$arrayName = "Processes", "TCPConnect", "UDPConnect" "TaskScheduled", "Users", "RunUser", "RunMachine",
"ScheduledJob", "Alternative Data Stream"
A for ciklus használatával a kapott adatok fájlba kerülnek.
for ($w = 0; $w -lt $array.count; $w++){
$name = $arrayName[$w]
$array[$w] >> $path$name.txt
A szkript végrehajtása után 9 szöveges fájl jön létre, amelyek tartalmazzák a szükséges információkat.
Ma a kiberbiztonsági szakemberek a PowerShell segítségével gazdagíthatják a munkájuk során felmerülő különféle feladatok megoldásához szükséges információkat. Ha egy szkriptet ad hozzá az indításhoz, akkor bizonyos információkhoz juthat anélkül, hogy eltávolítaná a dumpokat, képeket stb.
Forrás: will.com