Помните мы спрашивали, какие шаги вы в первую очередь предпримете для определения источника вредоносной активности в Windows? И вообще, какие действия необходимо предпринимать?
Этот вопрос очень многогранный. Если в вашей сети используются различные средства безопасности, источник атаки будет найти не так сложно. В противном случае придется разгребать логи Windows и анализировать результаты выполнения базовых команд в поисках появления чего-то подозрительного:
📌 Пользователи
>
> Get-LocalUser
> net localgroup administrators
> Get-LocalGroupMember Administrators
📌 Процессы
> taskmgr.exe
> tasklist
> Get-Process
> wmic process get name,parentprocessid,processid
> wmic process where 'ProcessID=PID' get CommandLine
📌 Сервисы
> services.msc
> net start
> sc query | more
> tasklist /svc
> Get-Service | Format-Table -AutoSize
📌 Task Scheduler
> schtasks
> wmic startup get caption,command
> Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List
> Get-ScheduledTask | Format-Table -AutoSize
> Get-ScheduledTask -TaskName Office* | Format-Table -AutoSize
📌 Регистр
> regedit
> reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
📌 Соединения
> netstat -ano
📌 Подозрительные файлы
> forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"
> forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"
> forfiles /p c: /S /D -10
📌 Настройки файрвола
> netsh firewall show config
> netsh advfirewall show currentprofile
> Get-NetFirewallRule | select DisplayName,Direction,Action,Enabled | Where-Object Enabled -eq $true | Sort-Object Direction, DisplayName | Format-Table -AutoSize
> Get-NetFirewallProfile
📌 Сессии с другими узлами
> net use
> net session
> Get-SmbMapping
> Get-SmbConnection
📌 Логи
> eventvwr.msc
> Get-EventLog -List
> Get-EventLog Application -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
> Get-EventLog System -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
> Get-EventLog System -After (Get-Date).AddHours(-2) | Where-Object {$_.Message -like "*Server*"}
#холивар
Этот вопрос очень многогранный. Если в вашей сети используются различные средства безопасности, источник атаки будет найти не так сложно. В противном случае придется разгребать логи Windows и анализировать результаты выполнения базовых команд в поисках появления чего-то подозрительного:
📌 Пользователи
>
net user> Get-LocalUser
> net localgroup administrators
> Get-LocalGroupMember Administrators
📌 Процессы
> taskmgr.exe
> tasklist
> Get-Process
> wmic process get name,parentprocessid,processid
> wmic process where 'ProcessID=PID' get CommandLine
📌 Сервисы
> services.msc
> net start
> sc query | more
> tasklist /svc
> Get-Service | Format-Table -AutoSize
📌 Task Scheduler
> schtasks
> wmic startup get caption,command
> Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List
> Get-ScheduledTask | Format-Table -AutoSize
> Get-ScheduledTask -TaskName Office* | Format-Table -AutoSize
📌 Регистр
> regedit
> reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
📌 Соединения
> netstat -ano
📌 Подозрительные файлы
> forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"
> forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"
> forfiles /p c: /S /D -10
📌 Настройки файрвола
> netsh firewall show config
> netsh advfirewall show currentprofile
> Get-NetFirewallRule | select DisplayName,Direction,Action,Enabled | Where-Object Enabled -eq $true | Sort-Object Direction, DisplayName | Format-Table -AutoSize
> Get-NetFirewallProfile
📌 Сессии с другими узлами
> net use
> net session
> Get-SmbMapping
> Get-SmbConnection
📌 Логи
> eventvwr.msc
> Get-EventLog -List
> Get-EventLog Application -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
> Get-EventLog System -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
> Get-EventLog System -After (Get-Date).AddHours(-2) | Where-Object {$_.Message -like "*Server*"}
#холивар
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
💭 Представьте, что вы работаете безопасником, и обнаружили подозрительную сетевую активность на одном из узлов под управлением Windows. Какие шаги вы в первую очередь предпримете, чтобы определить, что происходит?
#холивар
#холивар
👍6🔥4
#холивар
Какая информация в описании вакансии может вас оттолкнуть? И на что вы больше всего обращаете внимание:
📝 Условия работы
📝 Описание вакансии
📝 Бренд работодателя
🤩 — главное, чтобы хорошо платили
💯 — для меня важны все перечисленные пункты
Какая информация в описании вакансии может вас оттолкнуть? И на что вы больше всего обращаете внимание:
📝 Условия работы
📝 Описание вакансии
📝 Бренд работодателя
🤩 — главное, чтобы хорошо платили
💯 — для меня важны все перечисленные пункты
💯6