PersistenceSniper: Windows tizimlarida xakerlik izlarini kuzatuvchi vosita

PersistenceSniper — bu PowerShell asosida ishlab chiqilgan modul bo‘lib, Blue Team (himoya bo‘yicha ekspertlar), tizim administratorlari va hodisalarga javob beruvchi mutaxassislar uchun mo‘ljallangan. U Windows tizimlarida xakerlar tomonidan ishlatiladigan turli xil “zakreplenie” usullarini topishga yordam beradi. Ushbu vosita 56 xil texnikani aniqlashga qodir bo‘lib, ularga reyestr sozlamalari, DLL-kitobxonalardan foydalanish va boshqa murakkab usullar kiradi.

PersistenceSniper moduli imkoniyatlari

  1. Keng qamrovli qidiruv:
    • Modul 56 turdagi usulni aniqlashga mo‘ljallangan.
    • Xakerlar tomonidan eng ko‘p ishlatiladigan reyestr kalitlaridan tortib, AppInit_DLLs kabi kam uchraydigan texnikalarni ham kuzatadi.
  2. Kuzatuv va tahlil qilish imkoniyatlari:
    • Qurilmadagi foydalanuvchi sessiyalarini kuzatish.
    • Avtomatik yuklanadigan xizmatlarni tekshirish.
    • Autorun texnikalarini tahlil qilish.
  3. Ishlash soddaligi:
    • Blue Team uchun moslashtirilgan interfeys.
    • Hodisalar bo‘yicha hisobotlarni chiqarish.

O‘rnatish uchun talablar:

  • Windows PowerShell (5.1 yoki undan yuqori versiya).
  • Administrator huquqlari.

O‘rnatish qadamlar:

  1. PowerShell oynasini oching va quyidagi kodni kiriting:

git clone https://github.com/last-byte/PersistenceSniper.git
cd PersistenceSniper
Import-Module .\PersistenceSniper.psm1

2. Modulni muvaffaqiyatli yuklaganingizdan keyin asosiy buyruqlarni ishlatishni boshlashingiz mumkin.

PersistenceSniper yordamida aniqlanadigan texnikalar

Quyida modul aniqlashga qodir bo‘lgan ayrim texnikalar keltirilgan:

  1. Registry persistensiya usullari:
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • HKLM\SYSTEM\CurrentControlSet\Services
  2. Scheduled Tasks (Rejalashtirilgan vazifalar):
    • Maxsus zararli vazifalarni aniqlash.
    • Avtomatlashtirilgan ishlov berish jarayonlarini tahlil qilish.
  3. DLL hijacking va AppInit DLL:
    • AppInit_DLLs konfiguratsiyasidagi o‘zgartirishlar.
    • Dynamic Link Library (DLL) ekspluatatsiyasini kuzatish.
  4. WMI Events:
    • Xakerlar WMI hodisalarini ishlatib zararli skriptlarni ishlatishlari mumkin. PersistenceSniper buni aniqlashga qodir.
  5. Startup papkasidan foydalanish:
    • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup ichidagi zararli fayllarni aniqlash.

Ishlatish bo‘yicha asosiy buyruqlar

Tizimni to‘liq skanerlash:

Invoke-PersistenceScan

Muayyan texnikani aniqlash (masalan, Scheduled Tasks):

Get-ScheduledTaskPersistence

Reyestrdagi potensial tahdidlarni topish:

Get-RegistryPersistence

WMI hodisalarini skanerlash:

Get-WMIPersistence

Ushbu vositaning amaliy qo‘llanilishi

  1. Tizim xavfsizligini tahlil qilish:
    • Ushbu vositani ishlatib, korporativ tarmoq ichidagi Windows qurilmalarining xavfsizlik darajasini baholash mumkin.
  2. Xakerlik hujumidan keyingi tekshiruv:
    • Incident Response guruhi xakerlar tomonidan qoldirilgan zararli qoldiqlarni tezda topishi mumkin.
  3. Avtomatik hisobotlarni yaratish:
    • Har bir skan natijasida olinadigan hisobotlar tahlil jarayonini soddalashtiradi.

Kamchiliklar va cheklovlar

  1. To‘liq avtomatik emas:
    • Natijalar tahlil qilinishi uchun xavfsizlik bo‘yicha mutaxassisning ishtiroki talab qilinadi.
  2. Texnik bilimlarni talab qiladi:
    • Moduldan to‘liq foydalanish uchun Windows ichki mexanizmlarini yaxshi tushunish kerak.

PersistenceSniper — Windows tizimlaridagi xakerlik hujumlarining qoldiqlarini aniqlash uchun muhim vositalardan biridir. U oddiy reyestr o‘zgarishlaridan tortib, murakkab texnikalarni aniqlashgacha qodir. Ushbu modulni Blue Team jamoalari, tizim administratorlari va xavfsizlik mutaxassislari qo‘llab, tarmoqlarning xavfsizlik darajasini oshirishlari mumkin.

PersistenceSniper moduli GitHub sahifasida joylashgan: PersistenceSniper GitHub

Skip to content