PowerShell을 사용하여 사고 정보 수집

PowerShell은 맬웨어 개발자와 정보 보안 전문가가 자주 사용하는 매우 일반적인 자동화 도구입니다.
이 문서에서는 정보 보안 사고에 대응할 때 PowerShell을 사용하여 최종 장치에서 원격으로 데이터를 수집하는 옵션에 대해 설명합니다. 이렇게 하려면 최종 장치에서 실행될 스크립트를 작성해야 하며 이 스크립트에 대한 자세한 설명이 제공됩니다.

function CSIRT{
param($path)
if ($psversiontable.psversion.major -ge 5)
	{
	$date = Get-Date -Format dd.MM.yyyy_hh_mm
	$Computer = $env:COMPUTERNAME
	New-Item -Path $path$computer$date -ItemType 'Directory' -Force | Out-Null
	$path = "$path$computer$date"

	$process = get-ciminstance -classname win32_process | Select-Object creationdate, processname,
	processid, commandline, parentprocessid

	$netTCP = Get-NetTCPConnection | select-object creationtime, localaddress,
	localport, remoteaddress, remoteport, owningprocess, state
	
	$netUDP = Get-NetUDPEndpoint | select-object creationtime, localaddress,
	localport, remoteaddress, remoteport, owningprocess, state

	$task = get-ScheduledTask | Select-Object author, actions, triggers, state, description, taskname|
	where author -notlike '*Майкрософт*' | where author -ne $null |
	where author -notlike '*@%systemroot%*' | where author -notlike '*microsoft*'

	$job = Get-ScheduledJob

	$ADS =  get-item * -stream * | where stream -ne ':$Data'

	$user = quser

	$runUser = Get-ItemProperty "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"

	$runMachine =  Get-ItemProperty "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"

	$array = $process, $netTCP, $netUDP, $task, $user, $runUser, $runMachine, $job, $ADS
	$arrayName = "Processes", "TCPConnect", "UDPConnect", "TaskScheduled", "Users", "RunUser", "RunMachine",
	"ScheduledJob", "AlternativeDataStream"


	for ($w = 0; $w -lt $array.count; $w++){
		$name = $arrayName[$w]
		$array[$w] >> $path$name.txt
		}

	}

}

시작하려면 함수를 만드세요. CSIRT 확장, 인수(수신된 데이터를 저장할 경로)를 취합니다. 대부분의 cmdlet은 Powershell v5에서 작동하므로 PowerShell 버전이 올바르게 작동하는지 확인했습니다.

function CSIRT{
		
param($path)# при запуске скрипта необходимо указать директорию для сохранения
if ($psversiontable.psversion.major -ge 5)

생성된 파일을 쉽게 탐색할 수 있도록 컴퓨터 이름과 현재 날짜가 할당되는 $date 및 $Computer라는 두 변수가 초기화됩니다.

$date = Get-Date -Format dd.MM.yyyy_hh_mm
$Computer = $env:COMPUTERNAME
New-Item -Path $path$computer$date –ItemType 'Directory' -Force | Out-Null 
$path = "$path$computer$date"

다음과 같이 현재 사용자를 대신하여 실행 중인 프로세스 목록을 가져옵니다. $process 변수를 만들고 여기에 win32_process 클래스가 있는 get-ciminstance cmdlet을 할당합니다. Select-Object cmdlet을 사용하면 추가 출력 매개 변수를 추가할 수 있습니다. 이 경우에는 parentprocessid(상위 프로세스 ID PPID), 생성 날짜(프로세스 생성 날짜), 처리됨(프로세스 ID PID), 프로세스 이름(프로세스 이름), 명령줄( 명령 실행).

$process = get-ciminstance -classname win32_process | Select-Object creationdate, processname, processid, commandline, parentprocessid

모든 TCP 및 UDP 연결 목록을 얻으려면 각각 Get-NetTCPConnection 및 Get-NetTCPConnection cmdlet을 할당하여 $netTCP 및 $netUDP 변수를 만듭니다.

$netTCP = Get-NetTCPConnection | select-object creationtime, localaddress, localport, remoteaddress, remoteport, owningprocess, state

$netUDP = Get-NetUDPEndpoint | select-object creationtime, localaddress, localport, remoteaddress, remoteport, owningprocess, state

계획된 작업 및 과제 목록을 찾는 것이 중요합니다. 이를 위해 get-ScheduledTask 및 Get-ScheduledJob cmdlet을 사용합니다. 변수 $task 및 $job을 할당해 보겠습니다. 처음에는 시스템에 예약된 작업이 많이 있으며, 악의적인 활동을 식별하려면 합법적인 예약된 작업을 필터링하는 것이 좋습니다. Select-Object cmdlet이 이 작업에 도움이 될 것입니다.

$task = get-ScheduledTask | Select-Object author, actions, triggers, state, description, taskname| where author -notlike '*Майкрософт*' | where author -ne $null | where author -notlike '*@%systemroot%*' | where author -notlike '*microsoft*' # $task исключает авторов, содержащих “Майкрософт”, “Microsoft”, “*@%systemroot%*”, а также «пустых» авторов
$job = Get-ScheduledJob

NTFS 파일 시스템에는 ADS(대체 데이터 스트림)와 같은 것이 있습니다. 이는 NTFS의 파일이 선택적으로 임의 크기의 여러 데이터 스트림과 연결될 수 있음을 의미합니다. ADS를 사용하면 표준 시스템 검사를 통해 표시되지 않는 데이터를 숨길 수 있습니다. 이를 통해 악성 코드를 주입하거나 데이터를 숨길 수 있습니다.

PowerShell에서 대체 데이터 스트림을 표시하기 위해 get-item cmdlet과 * 기호가 있는 기본 제공 Windows 스트림 도구를 사용하여 가능한 모든 스트림을 봅니다. 이를 위해 $ADS 변수를 생성합니다.

$ADS = get-item * -stream * | where stream –ne ':$Data' 

시스템에 로그인한 사용자 목록을 찾는 것이 유용할 것입니다; 이를 위해 $user 변수를 생성하고 이를 quser 프로그램 실행에 할당합니다.

$user = quser

공격자는 시스템에서 발판을 마련하기 위해 자동 실행을 변경할 수 있습니다. 시작 개체를 보려면 Get-ItemProperty cmdlet을 사용할 수 있습니다.
두 개의 변수를 만들어 보겠습니다. $runUser - 사용자를 대신하여 시작을 확인하고 $runMachine - 컴퓨터를 대신하여 시작을 확인합니다.

$runUser = Get-ItemProperty 
"HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
$runMachine = Get-ItemProperty 
"HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"

모든 정보가 다른 파일에 기록되도록 변수가 있는 배열과 파일 이름이 있는 배열을 만듭니다.

$array = $process, $netTCP, $netUDP, $task, $user, $runUser, $runMachine, $job, $ADS
$arrayName = "Processes", "TCPConnect", "UDPConnect" "TaskScheduled", "Users", "RunUser", "RunMachine",
"ScheduledJob", "Alternative Data Stream"

그리고 for 루프를 사용하면 수신된 데이터가 파일에 기록됩니다.

for ($w = 0; $w -lt $array.count; $w++){
	$name = $arrayName[$w]
	$array[$w] >> $path$name.txt

스크립트를 실행하면 필요한 정보가 포함된 9개의 텍스트 파일이 생성됩니다.

오늘날 사이버 보안 전문가는 PowerShell을 사용하여 업무 중 다양한 작업을 해결하는 데 필요한 정보를 강화할 수 있습니다. 시작에 스크립트를 추가하면 덤프, 이미지 등을 제거하지 않고도 일부 정보를 얻을 수 있습니다.

출처 : habr.com