PSRecon — утилита для сбора информации с удаленных Windows систем

Язык PowerShell становится все популярнее и популярнее для решения задач информационной безопасности на Windows-системах: как заражения и кражи данных, так и их защиты.


PSRecon — это сборщик данных с удаленных Windows-систем с использованием PowerShell (v2 и более поздних). Инструмент организует все данные по директориям, хешам и другим системным свойствам, а затем рассылает информацию по почте или по шаре команде безопасности. Как, я думаю, ты уже понял, данный инструмент интересен в первую очередь внутренней команде безопасности компании для реагирования на инциденты.
Пример запуска скрипта на удаленной машине:

PS C:> .psrecon.ps1 -remote -target [computer]

Основные сценарии использования:
1.     Базовое реагирование на инцидент.
2.     Интеграция с SIEM-решением.
3.     Удаленное извлечение данных и включение карантина на системе.

При этом PSRecon никаким образом не модифицирует систему и не оставляет собственных логов. Конечно, при всем при этом стоит помнить, что на машинах должно быть разрешено выполнение PowerShell-скриптов.

[ad name=»Responbl»]

Click to rate this post!
[Total: 2 Average: 1.5]

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Leave a reply:

Your email address will not be published.