🥇Користење на PowerShell за собирање информации за инцидентот

PowerShell е прилично честа алатка за автоматизација која често ја користат и развивачите на малициозен софтвер и специјалистите за безбедност на информации.
Оваа статија ќе ја разгледа опцијата за користење на PowerShell за далечинско собирање податоци од крајните уреди кога одговарате на инциденти со безбедноста на информациите. За да го направите ова, ќе треба да напишете скрипта што ќе работи на крајниот уред, а потоа ќе има детален опис на оваа скрипта.

function CSIRT{
param($path)
if ($psversiontable.psversion.major -ge 5)
	{
	$date = Get-Date -Format dd.MM.yyyy_hh_mm
	$Computer = $env:COMPUTERNAME
	New-Item -Path $path$computer$date -ItemType 'Directory' -Force | Out-Null
	$path = "$path$computer$date"

	$process = get-ciminstance -classname win32_process | Select-Object creationdate, processname,
	processid, commandline, parentprocessid

	$netTCP = Get-NetTCPConnection | select-object creationtime, localaddress,
	localport, remoteaddress, remoteport, owningprocess, state
	
	$netUDP = Get-NetUDPEndpoint | select-object creationtime, localaddress,
	localport, remoteaddress, remoteport, owningprocess, state

	$task = get-ScheduledTask | Select-Object author, actions, triggers, state, description, taskname|
	where author -notlike '*Майкрософт*' | where author -ne $null |
	where author -notlike '*@%systemroot%*' | where author -notlike '*microsoft*'

	$job = Get-ScheduledJob

	$ADS =  get-item * -stream * | where stream -ne ':$Data'

	$user = quser

	$runUser = Get-ItemProperty "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"

	$runMachine =  Get-ItemProperty "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"

	$array = $process, $netTCP, $netUDP, $task, $user, $runUser, $runMachine, $job, $ADS
	$arrayName = "Processes", "TCPConnect", "UDPConnect", "TaskScheduled", "Users", "RunUser", "RunMachine",
	"ScheduledJob", "AlternativeDataStream"


	for ($w = 0; $w -lt $array.count; $w++){
		$name = $arrayName[$w]
		$array[$w] >> $path$name.txt
		}

	}

}

За да започнете, креирајте функција CSIRT екстензија, кој ќе преземе аргумент - патеката за зачувување на примените податоци. Поради фактот што повеќето cmdlet работат во Powershell v5, верзијата PowerShell беше проверена за правилно функционирање.

function CSIRT{
		
param($path)# при запуске скрипта необходимо указать директорию для сохранения
if ($psversiontable.psversion.major -ge 5)

За полесно навигација низ креираните датотеки, иницијализирани се две променливи: $date и $Computer, на кои ќе им се додели името на компјутерот и тековниот датум.

$date = Get-Date -Format dd.MM.yyyy_hh_mm
$Computer = $env:COMPUTERNAME
New-Item -Path $path$computer$date –ItemType 'Directory' -Force | Out-Null 
$path = "$path$computer$date"

Го добиваме списокот на процеси кои се извршуваат во име на тековниот корисник на следниов начин: креирајте променлива $process, доделувајќи ѝ го cmdlet-от get-ciminstance со класата win32_process. Користејќи го cmdlet Select-Object, можете да додадете дополнителни излезни параметри, во нашиот случај тоа ќе бидат родителски процес (ID на родителски процес PPID), датум на создавање (датум на создавање на процес), обработен (ID на процес), име на процес (име на процес), командна линија ( команда за извршување).

$process = get-ciminstance -classname win32_process | Select-Object creationdate, processname, processid, commandline, parentprocessid

За да добиете листа на сите TCP и UDP конекции, креирајте ги променливите $netTCP и $netUDP со тоа што ќе им ги доделите cmdlet-ите Get-NetTCPConnection и Get-NetTCPConnection, соодветно.

$netTCP = Get-NetTCPConnection | select-object creationtime, localaddress, localport, remoteaddress, remoteport, owningprocess, state

$netUDP = Get-NetUDPEndpoint | select-object creationtime, localaddress, localport, remoteaddress, remoteport, owningprocess, state

Ќе биде важно да ја дознаете листата на планирани задачи и задачи. За да го направите ова, ги користиме cmdlets get-ScheduledTask и Get-ScheduledJob. Да им ги доделиме променливите $task и $job, бидејќи Првично, има многу закажани задачи во системот, а потоа за да се идентификуваат малициозни активности вреди да се филтрираат легитимните закажани задачи. Во тоа ќе ни помогне cmdlet Select-Object.

$task = get-ScheduledTask | Select-Object author, actions, triggers, state, description, taskname| where author -notlike '*Майкрософт*' | where author -ne $null | where author -notlike '*@%systemroot%*' | where author -notlike '*microsoft*' # $task исключает авторов, содержащих “Майкрософт”, “Microsoft”, “*@%systemroot%*”, а также «пустых» авторов
$job = Get-ScheduledJob

Во датотечниот систем NTFS постои такво нешто како алтернативни потоци на податоци (ADS). Ова значи дека датотеката во NTFS може опционално да се поврзе со повеќе текови на податоци со произволна големина. Користејќи ADS, можете да ги скриете податоците што не би биле видливи преку стандардни системски проверки. Ова овозможува да се внесе злонамерен код и/или да се сокријат податоци.

За прикажување на алтернативни преноси на податоци во PowerShell, ќе ги користиме get-item cmdlet и вградената алатка за пренос на Windows со симболот * за да ги прегледаме сите можни преноси, за ова ќе ја создадеме променливата $ADS.

$ADS = get-item * -stream * | where stream –ne ':$Data'

Ќе биде корисно да се дознае списокот на корисници најавени во системот; за ова ќе создадеме променлива $user и ќе ја доделиме на извршување на програмата quser.

$user = quser

Напаѓачите можат да направат промени во автоматското стартување за да добијат основа во системот. За да ги видите објектите за стартување, можете да го користите cmdlet-от Get-ItemProperty.
Ајде да создадеме две променливи: $runUser - за да го видите стартувањето во име на корисникот и $runMachine - за да го видите стартувањето во име на компјутерот.

$runUser = Get-ItemProperty 
"HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
$runMachine = Get-ItemProperty 
"HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"

Така што сите информации се запишуваат во различни датотеки, создаваме низа со променливи и низа со имиња на датотеки.


$array = $process, $netTCP, $netUDP, $task, $user, $runUser, $runMachine, $job, $ADS
$arrayName = "Processes", "TCPConnect", "UDPConnect" "TaskScheduled", "Users", "RunUser", "RunMachine",
"ScheduledJob", "Alternative Data Stream"

И со користење на за јамка, добиените податоци ќе бидат запишани во датотеките.

for ($w = 0; $w -lt $array.count; $w++){
	$name = $arrayName[$w]
	$array[$w] >> $path$name.txt

По извршувањето на скриптата, ќе се креираат 9 текстуални датотеки кои ги содржат потребните информации.

Денес, професионалците за сајбер безбедност можат да го користат PowerShell за да ги збогатат информациите што им се потребни за решавање на различни задачи во нивната работа. Со додавање на скрипта за стартување, можете да добиете некои информации без да отстранувате депонии, слики итн.

Извор: www.habr.com

Користење на PowerShell за собирање информации за инцидентот

Додадете коментар Откажи одговор