DeepBlueCLI — модуль PowerShell для поиска угроз через журналы событий Windows.

Установите Sysmon из Sysinternals: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.

Обнаруживаемые события:

  • Подозрительное поведение аккаунта
    • Создание пользователя
    • Пользователь добавлен в локальную/глобальную/универсальную группу.
    • Подбор пароля (несколько ошибок входа в систему, одна учетная запись)
    • Распыление паролей при неудачном входе в систему (множественные ошибки входа, несколько учетных записей)
    • Распыление паролей с помощью явных учетных данных
    • Bloodhound (права администратора, назначенные одной учетной записи с несколькими идентификаторами безопасности)
  • Аудит командной строки/Sysmon/PowerShell
    • Длинные командные строки
    • Поиск по регулярным выражениям
    • Запутанные команды
    • PowerShell запускается через WMIC или PsExec
    • Строка загрузки PowerShell Net.WebClient
    • Сжатые команды/команды в кодировке Base64 (с автоматической распаковкой/декодированием)
    • Неподписанные EXE-файлы или библиотеки DLL.
  • Аудит сервиса
    • Создание подозрительного сервиса
    • Ошибки создания сервиса
    • Остановка/запуск службы журнала событий Windows (потенциальные манипуляции с журналом событий)
  • Мимикац
    • lsadump::sam
  • Блоки EMET и Applocker

…и прочее

https://github.com/sans-blue-team/DeepBlueCLI

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x