DeepBlueCLI — модуль PowerShell для поиска угроз через журналы событий Windows.
Установите Sysmon из Sysinternals: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.
Обнаруживаемые события:
- Подозрительное поведение аккаунта
- Создание пользователя
- Пользователь добавлен в локальную/глобальную/универсальную группу.
- Подбор пароля (несколько ошибок входа в систему, одна учетная запись)
- Распыление паролей при неудачном входе в систему (множественные ошибки входа, несколько учетных записей)
- Распыление паролей с помощью явных учетных данных
- Bloodhound (права администратора, назначенные одной учетной записи с несколькими идентификаторами безопасности)
- Аудит командной строки/Sysmon/PowerShell
- Длинные командные строки
- Поиск по регулярным выражениям
- Запутанные команды
- PowerShell запускается через WMIC или PsExec
- Строка загрузки PowerShell Net.WebClient
- Сжатые команды/команды в кодировке Base64 (с автоматической распаковкой/декодированием)
- Неподписанные EXE-файлы или библиотеки DLL.
- Аудит сервиса
- Создание подозрительного сервиса
- Ошибки создания сервиса
- Остановка/запуск службы журнала событий Windows (потенциальные манипуляции с журналом событий)
- Мимикац
lsadump::sam
- Блоки EMET и Applocker
…и прочее
https://github.com/sans-blue-team/DeepBlueCLI
Ваша реакция?
+1
+1
+1
+1
+1
+1
+1