PersistenceSniper: Инструмент для отслеживания следов хакерских атак в системах Windows
PersistenceSniper — это модуль на основе PowerShell, предназначенный для специалистов Blue Team (экспертов по кибербезопасности), системных администраторов и специалистов по реагированию на инциденты. Он помогает выявлять различные методы «закрепления» (persistensiya), используемые злоумышленниками в системах Windows. Инструмент способен обнаружить 56 различных техник, включая манипуляции с реестром, использование библиотек DLL и другие сложные методы.
Возможности модуля PersistenceSniper
Широкий охват поиска
- Модуль рассчитан на выявление 56 различных техник.
- Анализирует как популярные ключи реестра, так и редкие методы, такие как AppInit_DLLs.
Мониторинг и анализ
- Отслеживает пользовательские сессии на устройстве.
- Проверяет автоматически загружаемые сервисы.
- Анализирует техники автозагрузки (autorun).
Простота использования
- Удобный интерфейс, адаптированный для Blue Team.
- Возможность генерации отчетов по обнаруженным инцидентам.
Требования для установки
- Windows PowerShell версии 5.1 или выше.
- Права администратора.
Шаги установки
- Откройте PowerShell и выполните следующие команды:
git clone https://github.com/last-byte/PersistenceSniper.git
cd PersistenceSniper
Import-Module .\PersistenceSniper.psm1
2. После успешной загрузки модуля можно начинать использовать основные команды.
Техники, выявляемые PersistenceSniper
Методы закрепления через реестр
HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKLM\SYSTEM\CurrentControlSet\Services
Запланированные задачи (Scheduled Tasks)
- Обнаружение вредоносных задач.
- Анализ автоматизированных процессов.
Подмена DLL и AppInit_DLLs
- Изменения в конфигурации AppInit_DLLs.
- Отслеживание эксплуатации Dynamic Link Library (DLL).
WMI-события
- Выявление вредоносных скриптов, запускаемых через WMI-события.
Использование папки автозагрузки (Startup)
- Анализ файлов в папке:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup.
Основные команды для работы
- Полное сканирование системы:
Обнаружение конкретной техники (например, запланированных задач):
Поиск потенциальных угроз в реестре:
Сканирование WMI-событий:
Практическое применение инструмента
- Анализ безопасности системы:
Используя этот инструмент, можно оценить уровень безопасности устройств Windows в корпоративной сети. - Проверка после хакерских атак:
Команды реагирования на инциденты (Incident Response) могут быстро обнаружить оставленные злоумышленниками вредоносные компоненты. - Создание автоматизированных отчетов:
Отчеты, формируемые после каждого сканирования, упрощают процесс анализа.
Недостатки и ограничения
- Не полностью автоматизирован:
Для анализа результатов требуется участие специалиста по кибербезопасности. - Требуются технические знания:
Для эффективного использования модуля необходимо хорошее понимание внутренних механизмов Windows.
PersistenceSniper — это мощный инструмент для выявления следов хакерских атак в системах Windows. Он помогает обнаруживать как простые изменения в реестре, так и сложные техники. Этот модуль станет полезным для команд Blue Team, системных администраторов и специалистов по кибербезопасности, повышая общий уровень безопасности сети.
Ссылка на GitHub: PersistenceSniper
