Что должно быть включено в пакетный скрипт для приобретения IoC для ПК с Windows?
Я хочу охотиться за показателями компромисса (IoC) на потенциально зараженном ПК с Windows.
Я пишу пакетный скрипт, который бы записывал информацию, необходимую для анализа. Включает следующие команды CMD:
time /T
date /T
whoami
systeminfo
net user
dir /a "C:\Users\"
net localgroup administrators
net group administrators
net start
schtasks
tasklist
tasklist -svc
tasklist -v
wmic process list full
wmic product get name
Что еще я должен искать?
Сценарий будет написан таким образом, чтобы создать новый файл для каждого
команда, разделенная такими каталогами, как "Сетевые артефакты",
"Процессы и услуги", "Информация о машине" и т. Д. Что я могу сделать, чтобы улучшить сценарий?Вы предлагаете брать дампы реестра и памяти на этом этапе?
2 ответа
Я бы взял образ памяти, прежде чем делать что-то еще, и, если это возможно, попытаться захватить файл подкачки. Вам нужно будет запускать команды из командной оболочки администратора, чтобы иметь возможность скопировать файл подкачки.
Ответ Lytledw хорош, если вы помните, чтобы захватить образ памяти как можно раньше, чтобы свести к минимуму ваше влияние на работу.
Я также хотел бы взглянуть на ваши услуги:
wmic service list brief
wmic service list full
рег ключи:
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Есть также много других вещей, которые вы можете искать (журналы событий Windows с определенным идентификатором, недавно добавленные элементы в папки c:\windows и c:\windows\system32). Может быть, даже сравнение хеша этих каталогов с известным товаром государство). Если вы расширите это в сценарий PowerShell, то, я полагаю, вы сможете извлечь из этого гораздо больше.
Вы можете сделать захват памяти в любое время. Я рекомендую делать это как можно раньше, чтобы не оставлять слишком большой след на машине.