Язык PowerShell становится все популярнее и популярнее для решения задач информационной безопасности на Windows-системах: как заражения и кражи данных, так и их защиты.
PSRecon — это сборщик данных с удаленных Windows-систем с использованием PowerShell (v2 и более поздних). Инструмент организует все данные по директориям, хешам и другим системным свойствам, а затем рассылает информацию по почте или по шаре команде безопасности. Как, я думаю, ты уже понял, данный инструмент интересен в первую очередь внутренней команде безопасности компании для реагирования на инциденты.
Пример запуска скрипта на удаленной машине:
PS C:> .psrecon.ps1 -remote -target [computer]
Основные сценарии использования:
1. Базовое реагирование на инцидент.
2. Интеграция с SIEM-решением.
3. Удаленное извлечение данных и включение карантина на системе.
При этом PSRecon никаким образом не модифицирует систему и не оставляет собственных логов. Конечно, при всем при этом стоит помнить, что на машинах должно быть разрешено выполнение PowerShell-скриптов.
[ad name=»Responbl»]