alphasec academy

ls HKCU:\Software\Sysinternals|select Name - pokaż które narzędzia z Sysinternals (np. PsExec) były używane

Dodatkowe informacje

Narzędzia z pakietu Sysinternals są bardzo przydatne dla administratorów, jednak zupełnie nierzadko używają ich również atakujący (np. PsExec podczas ruchów lateralnych).
Uruchomienie każdego z nich wymaga zaakceptowania licencji (przy pierwszym uruchomieniu pojawi się odpowiednie okienko, chyba, że dodamy opcję -accepteula), co spowoduje dodanie do rejestru klucza EulaAccepted w gałęzi HKCU:\Software\Sysinternals\<Program>.
Zaglądając do rejestru, możemy szybko sprawdzić czy na danej workstacji/serwerze ktoś te narzędzia uruchamiał:
PS C:\Users\drg> ls HKCU:\Software\Sysinternals|select Name

Name
----
HKEY_CURRENT_USER\Software\Sysinternals\AutoRuns
HKEY_CURRENT_USER\Software\Sysinternals\Process Explorer
HKEY_CURRENT_USER\Software\Sysinternals\Process Monitor
HKEY_CURRENT_USER\Software\Sysinternals\PsExec
HKEY_CURRENT_USER\Software\Sysinternals\Strings

PS C:\Users\drg> 
Jeśli chcemy zobaczyć ciut więcej, możemy zrobić:
PS C:\Users\drg> ls HKCU:\Software\Sysinternals|select Name,Property

Name                                                     Property
----                                                     --------
HKEY_CURRENT_USER\Software\Sysinternals\AutoRuns         {EulaAccepted, showall, shownomicrosoft, …
HKEY_CURRENT_USER\Software\Sysinternals\Process Explorer {EulaAccepted, Windowplacement, FindWindo…
HKEY_CURRENT_USER\Software\Sysinternals\Process Monitor  {EulaAccepted, MainWindow, Columns, Colum…
HKEY_CURRENT_USER\Software\Sysinternals\PsExec           {EulaAccepted}
HKEY_CURRENT_USER\Software\Sysinternals\Strings          {EulaAccepted}

PS C:\Users\drg> 

Przydatne linki


Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.