Powershell 模块,可供蓝队、事件响应者和系统管理员用来搜寻植入 Windows 计算机中的恶意软件。
其实就是集成了各种自动化响应脚本。
Powershell 模块,可供蓝队、事件响应者和系统管理员用来搜寻植入 Windows 计算机中的持久性。:
PS C:> Install-Module PersistenceSniper
PS C:> Import-Module PersistenceSniper
PS C:> Find-AllPersistence
这将使用 Powershell Gallery 版本安装 PersistenceSniper 模块(每次在 Github 上推送新版本时,都会通过 Github 操作自动更新)。否则,您可以使用 Github 托管版本:
PS C:> git clone https://github.com/last-byte/PersistenceSniper
PS C:> Import-Module .PersistenceSniperPersistenceSniperPersistenceSniper.psd1
PS C:> Find-AllPersistence
如果只想检查单个持久性技术,则可以依赖 PersistenceMethod 参数。
例如,假设您只想检查通过 Run 和 RunOnce 注册表项植入的持久性:
PS C:> Find-AllPersistence -PersistenceMethod RunAndRunOnce
Find-AllPersistence 返回具有以下属性的 PSCustomObject 类型的对象数组:
$PersistenceObject = [PSCustomObject]@{
'ComputerName' = $ComputerName
'Technique' = $Technique
'Classification' = $Classification
'Path' = $Path
'Value' = $Value
'Access Gained' = $AccessGained
'Note' = $Note
'Reference' = $Reference
'Signature' = Find-CertificateInfo (Get-ExecutableFromCommandLine $Value)
'IsBuiltinBinary' = Get-IfBuiltinBinary (Get-ExecutableFromCommandLine $Value)
'IsLolbin' = Get-IfLolBin (Get-ExecutableFromCommandLine $Value)
'VTEntries' = CheckHashAgainstVT(Get-ExecutableFromCommandLine $Value)
}
这允许轻松的输出格式化和过滤。假设您只想查看允许攻击者以 NT AUTHORITYSYSTEM(又名 System)身份重新获得访问权限的持久性:
PS C:> Find-AllPersistence | Where-Object "Access Gained" -EQ "System"
当然,作为基于Powershell的PersistenceSniper工具,可以执行一些很酷的技巧,例如将其输出传递给 Out-GridView ,以便与基于GUI的表进行交互。
如前所述, Find-AllPersistence 输出 Powershell 自定义对象数组。每个对象都有以下属性,可用于筛选、排序和更好地理解函数查找的不同技术:
- 计算机名;
- 技术:这是技术本身的名称;
- 分类:此属性可用于根据其MITRE ATT&CK技术和子技术编号快速识别技术;
- 路径:这是在文件系统或注册表中植入技术的路径;
- 值:这是技术使用注册表属性的值;
- 获得的访问权限:这是该技术授予攻击者的访问权限类型;
- 签名:此属性报告与找到的持久性技术关联的二进制文件的签名信息;
- IsBuiltinBinary:此布尔属性报告与找到的持久性技术关联的二进制文件是否通常在操作系统上找到并被视为内置的
- IsBuiltinBinary:此布尔属性报告与找到的持久性技术关联的二进制文件是否通常在操作系统上找到并被视为内置的
下载:
https://github.com/last-byte/PersistenceSniper
原文始发于微信公众号(白帽学子):蓝队自动化响应脚本--PersistenceSniper
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论